check 3d gpu
바로가기
메뉴로 이동
본문으로 이동

Git 프로젝트, Git에서 원격 코드 실행 취약점 패치해

hsk 기자 mkgil@dailysecu.com 2018년 10월 11일 목요일

aaaa-5.jpg
Git 프로젝트가 명령 줄 클라이언트, Desktop, Atom에 존재하는 악성 저장소가 취약한 기기에서 원격 명령을 실행할 수 있는 임의 코드 실행 취약점을 발표했다.

해당 취약점은 CVE-2018-17456으로 지정되었고, 이전 CVE-2017-1000117 옵션 삽입 취약점과 유사하다. 이전 취약점과 비슷하게 악성 저장소는 대시(-)로 시작하는 URL을 포함하는 .gitmodules 파일을 생성할 수 있다.

대시를 사용하면 Git이 --recurse—submodules 인수를 사용해 저장소를 복제할 때, 명령어가 URL을 옵션으로 해석해 컴퓨터에서 원격 코드 실행을 수행하는데 사용될 수 있다.

‘git clone --recurse-submodules’를 실행하면, Git은 제공된 .gitmodules 파일을 URL 필드로 구문 분석해서 git clone 하위 프로세스에 인수로 전달한다. 만약 URL 필드가 대시로 시작하는 문자열로 설정되어 있다면 git clone 하위 프로세스가 URL을 옵션으로 해석하는 것이다. 이를 통해 git clone을 실행한 사용자로수퍼 프로젝트에 포함된 임의 스크립트를 실행할 수 있다.

이전 취약점에서 사용된 악성 .gitmodules 파일의 예시는 다음과 같다. URL이 대시로 시작되어 Git이 이를 옵션으로 인식하고 명령어가 실행된다.

[submodule "test"]

path = test

url = ssh://-oProxyCommand=touch VULNERA-BLE/git@github.com:/timwr/test.git

이 취약점은 Git 버전 2.19.1(backport: v2.14.5, v2.15.3, v2.16.5, v2.17.2, v2.18.1), Gi-tHub Desktop 1.4.2, Github Desktop 1.4.3-beta0, Atom 1.31.2, Atom 1.32.0-beta3에서 패치 완료되었다.

Git 프로젝트는 사용자들이 Git 클라이언트, Desktop, Atom을 최신버전으로 업데이트 할 것을 권고한다.

★정보보안 대표 미디어 데일리시큐!★


<저작권자 © 데일리시큐, 무단 전재 및 재배포 금지>
목록