แจ้งเตือนช่องโหว่ใน Git สร้าง Repo อันตรายแอบรันโค้ดตอนใช้คำสั่ง Clone ได้

นักพัฒนาซอฟต์แวร์ Johannes Schindelin และ Matheus Tavares ได้มีการเปิดเผยและออกแพตช์ความปลอดภัยให้กับซอฟต์แวร์ Git หลังจากตรวจพบช่องโหว่ CVE-2021-21300 ซึ่งทำให้ผู้โจมตีสามารถลักลอบรันคำสั่งที่เป็นอันตรายได้โดยอาศัยการสร้าง Repo ที่มีลักษณะพิเศษบางอย่าง โดยคำสั่งอันตรายดังกล่าวจะทำงานเมื่อเหยื่อเรียกใช้คำสั่ง git clone กับ Repo ดังกล่าว

ช่องโหว่นี้อยู่ในส่วนการทำงานของ Git ที่มีต่อไฟล์ในลักษณะของ symbolic link ในระบบไฟล์แบบ Case-insensitive เช่น NTFS, HFS+ หรือ APFS ภายใต้เงื่อนไขว่าจะต้องมีการตั้งค่าเพื่อใช้งานฟิลเตอร์อย่าง clean หรือ smudge ก่อน เงื่อนไขดังกล่าวนี้ถูกกำหนดไว้ในไคลเอนต์อย่าง Git for Windows ที่มีการใช้ Git LFS อยู่แล้ว ส่งผลซอฟต์แวร์อย่าง Git for Windows ได้รับผลกระทบโดยอัตโนมัติ

อ้างอิงจากคำแนะนำของ GitHub แนวทางในการลดความเสี่ยงที่ดีที่สุดจากช่องโหว่นี้คือการอัปเดต Git ให้เป็นรุ่นล่าสุด ในกรณีที่ไม่สามารถอัปเดตได้ แนวทางในการลดผลกระทบอีกลักษณะหนึ่งคือการปิดการรองรับ symbolic link, ปิดการใช้งานฟิลเตอร์ รวมไปถึงการหลีกเลี่ยงการ Clone โครงการที่ไม่น่าเชื่อถือ

ที่มา: github-blog, github, openwall