Klient Git: można przejąć komputer przygotowując złośliwe repozytorium

Pierwsza informacja pojawiła się tutaj i tutaj. W największym skrócie – można przygotować tak repozytorium, że po wykonaniu git clone, wykona się u nas złośliwy kod (zawarty przez atakującego w samym repozytorium):

The solution to this problem is quite simple and effective: submodule’s folder names are now examined more closely by Git clients. They can no longer contain .. as a path segment, and they cannot be symbolic links, so they must be within the .git repository folder, and not in the actual repository’s working directory.

Zastosowano tutaj dość prosty trick z możliwością umieszczenia w repozytorium katalogu z „..” w nazwie, przez co dało się napisać pewne pliki konfiguracyjne (.git/config – w którym znajdują się tzw. hooki – czyli kawałki kodu, które wykonywane są na komputerze w odpowiednich momentach).

Podatność załatano co dopiero w wersjach: v2.17.1 v2.13.7, v2.14.4, v2.15.2, v2.16.4.

–ms