El reconocido sistema de control de versiones distribuido GIT, una piedra angular del desarrollo de software, corrige una serie de vulnerabilidades de seguridad que podrían exponer a los usuarios a la ejecución remota de código (RCE) y manipulación de datos no autorizada.
- CVE-2024-32002 (CVSS 9.1): Esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario de forma remota explotando un error en el manejo de submódulos de Git durante la clonación.
La falla se presenta en la forma en que Git maneja clones recursivos en sistemas de archivos que no distinguen entre mayúsculas, minúsculas y que admiten enlaces simbólicos. Se pueden diseñar repositorios con submódulos para aprovechar este error, lo que hace que Git escriba archivos por error en el directorio “.git/” en lugar del árbol de trabajo del submódulo. Esto permite a un atacante escribir un enlace que se ejecuta durante la operación de clonación, sin dejar a los usuarios la oportunidad de inspeccionar el código.
- CVE-2024-32004 (CVSS 8.2): En situaciones normales de clonación, Git verifica y descarga los objetos necesarios desde el repositorio remoto. Sin embargo, esta vulnerabilidad permite a un atacante la ejecución remota de código al clonar repositorios locales especialmente diseñados.
- CVE-2024-32465 (CVSS 7.4): Expone una falla que permite a los atacantes eludir las protecciones de Git para clonar repositorios que no son de confianza.
- CVE-2024-32021 y CVE-2024-32020 (CVSS 3.9): Estas vulnerabilidades podrían permitir a los atacantes manipular archivos dentro de la base de datos de objetos de un repositorio clonado, lo que podría provocar acceso no autorizado o corrupción de datos.
Versiones afectadas:
- Git en todas sus versiones anteriores a v2.45.1, v2.44.1, v2.43.4, v2.42.2, v2.41.1, v2.40.2 y v2.39.4.
Solución:
- Actualizar a las últimas versiones disponibles: v2.45.1, v2.44.1, v2.43.4, v2.42.2, v2.41.1, v2.40.2 y v2.39.4.
Recomendaciones:
- Actualizar Git a las últimas versiones mencionadas.
- Implementar los parches oficiales proporcionados por Git.
- Monitorear de cerca cualquier actividad sospechosa en los repositorios y tomar medidas de seguridad adicionales según sea necesario.
Referencias: