Git alt modülünde güvenlik açığı bulundu

Güvenlik açığı (CVE-2018-17456), saldırganın –recurse- alt modülü ile klonlanan bir projede, kötü amaçlı bir .gitmodules dosyası oluşturarak rastgele kod yürütebilmesini sağlıyor. Git 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1 ve 2.19.1 sürümlerini etkileyen açık için yama yayınlanarak hata düzeltildi. Güvenlik açığından etkilenilmemesi için yamanın en kısa sürede yapılması gerekiyor.

“git clone –recurse-submodules” komutunu çalıştırıldığında Git, bir URL alanı için sağlanan .gitmodules dosyasını ayrıştırıyor ve bunu bir “git clone” alt işlemine argüman olarak geçiriyor. URL alanı tire (-) ile başlayan bir dizeye ayarlanırsa, bu “git clone” alt işlemi URL’yi bir seçenek olarak yorumluyor. Bu, “git clone” komutunu çalıştıran kullanıcı olarak süper proje ile gelen isteğe bağlı bir betiğin çalıştırılmasına yol açabilir.

Güncelleme yapılana kadar güvenilir olmayan kaynaklardan gelen alt modüllerin kullanımından kaçınılması gerekiyor.