Git 보안 취약점 발표 – GitHub 블로그

오늘은 Git 프로젝트 새 버전 출시 한 쌍의 보안 취약점을 해결하기 위해 CVE-2024-50349 그리고 CVE-2024-52006Git의 모든 이전 버전에 영향을 미칩니다.

CVE-2024-50349

Git을 사용하지 않고 대화형으로 자격 증명을 입력해야 하는 경우 자격 증명 도우미호스트 이름을 인쇄하고 사용자에게 해당 호스트에 대한 적절한 사용자 이름/비밀번호 쌍을 입력하도록 요청합니다. 그러나 Git은 다음 호스트 이름을 인쇄합니다. URL 디코딩 그것. 이를 통해 공격자는 다음을 포함하는 URL을 만들 수 있습니다. ANSI 이스케이프 시퀀스 의도적으로 오해를 불러일으키는 프롬프트를 구성하는 데 사용될 수 있습니다. 그런 다음 공격자는 사용자를 속여 다른 Git 호스트에 대한 자격 증명을 공격자에게 다시 제공하도록 프롬프트를 조정할 수 있습니다.

[source]

CVE-2024-52006

자격 증명 도우미를 사용할 때(위와 같이 사용자에게 대화형으로 자격 증명을 요청하는 것과 반대) Git은 다음을 사용합니다. 회선 기반 프로토콜 자신과 자격 증명 도우미 간에 정보를 전달합니다. 다음을 포함하는 특별히 제작된 URL 캐리지 리턴 의도하지 않은 값을 프로토콜 스트림에 주입하여 도우미가 한 서버의 암호를 다른 서버로 보내는 동안 검색하도록 할 수 있습니다.

이 취약점은 다음과 관련이 있습니다. CVE-2020-5260그러나 일부 자격 증명 도우미 구현에서 단일 캐리지 리턴 문자가 줄 바꿈으로 해석되는 동작에 의존합니다.

[source]

최신 Git 버전으로 업그레이드

이러한 취약점과 관련된 공격으로부터 사용자를 보호하기 위해 GitHub는 사전 조치를 취했습니다. 특히, 우리는 다음의 출시를 예정하고 있습니다. GitHub 데스크탑 (CVE-2025-23040), 힘내 LFS (CVE-2024-53263), 그리고 Git 자격 증명 관리자 (CVE-2024-50338) 1월 14일 오늘부터 이 취약점의 악용을 방지합니다.

GitHub는 또한 GitHub Codespaces 및 GitHub CLI를 포함하여 유사한 취약점의 영향을 받은 제품을 사전에 패치했습니다.

CVE-2024-50349 그리고 CVE-2024-52006 둘 다에 의해보고되었습니다 료타K. 두 CVE에 대한 수정 사항은 Johannes Schindelin이 비공개 git-security 메일링 리스트 회원들의 의견과 검토를 받아 개발했습니다.