Pengembang di balik Git dan berbagai perusahaan yang menyediakan layanan hosting repositori Git telah mendorong perbaikan untuk mem-patch kerentanan berbahaya dalam source code Git versi perangkat lunak.
Perbaikan ini disertakan dengan Git 2.17.1, yang memperbaiki dua celah keamanan, CVE-2018-11233 dan CVE-2018-11235.
Kelemahan Git mengarah ke eksekusi kode arbitrer pada PC pengguna
Dari jumlah tersebut, CVE-2018-11235 dianggap yang paling berbahaya, karena memungkinkan aktor jahat untuk membuat repositori Git berbahaya yang berisi submodul Git yang dibuat khusus.
Setiap kali pengguna mengkloning repositori ini, karena cara klien Git menangani submodul Git berbahaya ini memungkinkan penyerang untuk mengeksekusi kode pada sistem pengguna.
Perbaikan sisi server disediakan untuk layanan hosting Git
Tetapi perbaikan tidak hanya diluncurkan ke klien Git. Perbaikan juga termasuk untuk komponen sisi server Git. Perbaikan sisi server ini memungkinkan layanan hosting Git untuk mengenali repositori kode yang berisi submodul berbahaya, dan memblokir pengguna agar tidak mengunggahnya terlebih dahulu.
Layanan hosting Git seperti GitHub dan Microsoft (melalui Layanan Visual Studio) telah menerapkan perbaikan untuk mencegah penyerang menyalahgunakan layanan mereka.
“Ini sebenarnya di mana sebagian besar pekerjaan berjalan,” kata Jeff King, seorang anggota staf GitHub. “Memperbaiki sendiri cukup sepele, tetapi deteksi selama [operasi push Git] membutuhkan banyak refactoring.”
King berkata pekerjaan itu melibatkan banyak proyek. “Saya menulis perbaikan untuk Git itu sendiri, tetapi yang lain bekerja pada libgit2, JGit, dan VSTS,” tambahnya.
Edward Thomson, Manajer Program untuk Layanan Tim Visual Studio, juga memberikan penjelasan yang lebih teknis tentang CVE-2018-11235 di https://blogs.msdn.microsoft.com/devops/2018/05/29/announcing-the-may-2018-git-security-vulnerability/.
Credit untuk penemuan kerentanan ini masuk ke Etienne Stalmans, yang melaporkannya melalui program bug bounty GitHub.
Thomson memberikan petunjuk tambahan untuk menguji apakah pengguna menjalankan klien Git yang rentan di blognya. Pengguna disarankan untuk memperbarui klien desktop dan/atau server Git mereka.
