Уязвимость в широко используемом средстве разработки открытого исходного кода Мерзавца была показана, но существует патч.Пользователи мерзавца, пора обновить.
О новой уязвимости сообщили и исправили 18 декабря в широко используемой системе управления исходным кодом Мерзавца с открытым исходным кодом.Уязвимость была идентифицирована как CVE-2014-9390 и влияет на клиенты Мерзавца, работающие на Windows и Mac OS X. Мерзавец является системой управления исходным кодом с открытым исходным кодом, используемой разработчиками на Linux, Windows и Mac OS X, и включает обоих компонент серверной стороны узла, а также локальный клиент на машинах разработчика. Мерзавец является также технологией с открытым исходным кодом позади популярного репозитория кода GitHub.Линус Торволдс, известный прежде всего как создатель операционной системы Linux с открытым исходным кодом, разработал Мерзавца.
Несколько иронически автор конкурирующей Подвижной системы управления версиями с открытым исходным кодом сначала обнаружил проблему CVE-2014-9390, которая также влияет Подвижный.«Уязвимость касается Мерзавца и Совместимых с мерзавцем клиентов, что репозитории Мерзавца доступа в нечувствительной к регистру или нормализующей случай файловой системе», сообщение в блоге GitHub предупреждает. «Атакующий может обработать злонамеренное дерево Мерзавца, которое заставит Мерзавца перезаписывать его собственный .git/config файл при клонировании или проверке репозитория, приведении к произвольному выполнению команды в клиентской машине».Исправление для CVE-2014-9390 уязвимости теперь присутствует в новом Мерзавце v2.2.1 выпуск и было также исправлено в Подвижной версии 3.2.3
Несмотря на то, что проблема только непосредственно влияет на Windows и пользователей Mac OS X, пользователям Linux также рекомендуют быть осторожными.«Даже при том, что проблема может не влиять на пользователей Linux, если Вы – хостинг-услуги, пользователи которых могут выбрать от Вашего обслуживания до Windows или машин Mac OS X, Вы строго призваны обновить для защиты таких пользователей, которые используют существующие версии Мерзавца», записал разработчик Мерзавца Хунио Амано в проводке списка рассылки Мерзавца.
Уязвимость Мерзавца имеет внимание исследователей в области безопасности также, включая Тода Бердслей, который является техническим руководителем Метэсплойта в Rapid7. Метэсплойт является популярной платформой испытания на пенетрацию с открытым исходным кодом. Бердслей прокомментировал, что Метэсплойт использует Мерзавца и GitHub экстенсивно, таким образом, новая уязвимость сразу привлекла его внимание.«Риск вот является злым GitHub respository, который перезаписывает локальный конфигурационный файл для Windows и пользователей Мерзавца OS X», сказал Бердслей eWEEK. «Это – клиентское использование, таким образом, атакующему должны были бы или уже доверять к установленному сроку или явиться олицетворением законного, доверяемого источника и ожидать клиента для соединения».
Metasploit часто является первым местом, куда новое использование прибывает для исследователей в области безопасности, чтобы быть в состоянии протестировать уязвимости. Вероятно, что использование для CVE-2014-9390 найдет, что его путь в Metasploit в некоторый момент в состоянии продемонстрировать уязвимость.
«Учитывая знакомство сообщества Metasploit с Мерзавцем, я ожидал бы видеть, что использование появляется из сообщества в довольно блюде быстрого приготовления», сказал Бердслей.Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.