Con el tema Sonyleaks tan candente, cualquier tema referente a bugs o
vulnerabilidades adquiere mayor relevancia (aunque no tengan nada que
ver). Pues bien, hace tan sólo unas horas la gente de Git anunció que ha descubierto una vulnerabilidad crítica de lado del cliente de Git que afecta a todas las versiones del cliente oficial de Git y software relacionado como pueda ser Github for Windows o Github for Mac. Si no quieres que Kim Jong-un puede hackearte, actualiza tu cliente de Git
y guardate mucho de clonar o acceder a repositorios Git sospechosos o
que no garanticen la seguridad (es decir no hay problemas con Github y
similares).
La vulnerabilidad afecta a clientes Git que accedan a repositorios con un sistema de ficheros case-insensitive o case-normalizing. En base a esto un atacante puede crear un árbol malicioso que pueda causar que Git sobreescriba su propio archivo .git/config
cuando se clona o hace checkout de un repositorio, permitiendo
ejecución arbitraria de comandos en la máquina cliente. Vamos, un
pifostio bastante importante. Según parece todos los clientes Git corriendo sobre OX X o Windows son vulnerables además de los Linux si su sistema de ficheros es case-insensitive.
Así que ya sabemos, a actualizarse tocan.
Pd: en el blog git-blame explican el exploit y las medidas que se han implementado para arreglarlo con bastante detalle.
Google+
@kalimero
Editor en Genbetadev
