뉴스 정보 뉴스 컴퓨터 소프트웨어 및 개발 Min-jun (민준) 7월 9, 2025 0 Comments

GIT 보안 취약점 발표 -Github 블로그

오늘 GIT 프로젝트는 모든 이전 버전의 GIT에 영향을 미치는 7 가지 보안 취약점을 해결하기 위해 새로운 버전을 발표했습니다.

Git의 취약점

CVE-2025-48384

구성 값을 읽을 때 GIT는 후행 캐리지 리턴 (CR) 및 LF (Line Feed) 문자를 제거합니다. 그러나 구성 값을 작성할 때 Git은 후행 CR 문자를 인용하지 않으므로 나중에 읽을 때 손실됩니다. 경로에 후행 CR 캐릭터가 포함 된 하위 모듈을 초기화 할 때, 벗겨진 경로가 사용되어 서브 모드가 잘못된 장소에서 체크 아웃됩니다.

스트리핑 된 경로와 하위 모듈의 후크 디렉토리 사이에 심볼 링크가 이미 존재하는 경우 공격자는 하위 모드를 통해 임의 코드를 실행할 수 있습니다. post-checkout 훅.

[source]

CVE-2025-48385

저장소를 복제 할 때 Git은 선택적으로 번들을 가져와 서버가 클론의 일부를 CDN에 오프로드 할 수 있습니다. GIT 클라이언트는 광고 된 번들을 올바르게 검증하지 않으므로 원격 측면에서 프로토콜 주입을 수행 할 수 있습니다. 특수 제작 된 번들이 광고되면 원격 끝으로 클라이언트가 번들을 임의의 위치로 쓸 수 있으므로 이전 CVE와 유사한 코드 실행으로 이어질 수 있습니다.

[source]

CVE-2025-48386 (Windows 만 해당)

인증 된 원격에서 복제 할 때 GIT는 자격 증명 도우미를 사용하여 요청을 인증합니다. GIT에는 Windows 자격 증명 관리자를 사용하여 자격 증명을 저장하는 Wincred를 포함한 소수의 자격 증명 도우미가 포함되어 있습니다.

Wincred는 정적 버퍼의 내용을 고유 키로 사용하여 자격 증명을 저장하고 검색합니다. 그러나 버퍼의 나머지 공간을 점검하여 버퍼 오버플로를 올바르게 확인하지 않습니다.

[source]

이 릴리스는 Gitk 및 Git Gui와 관련된 4 개의 새로운 CVE를 해결합니다. 두 도구 모두 GIT 리포지토리와 상호 작용하는 데 사용되는 TCL/TK 기반 그래픽 인터페이스입니다. Gitk는 저장소의 기록을 보여주는 데 중점을 두는 반면 Git Gui는 기존 리포지토리를 변경하는 데 중점을 둡니다.

CVE-2025-27613 (Gitk)

추가 명령 줄 인수없이 특수 제작 된 저장소에서 Gitk를 실행할 때 Gitk는 임의의 쓰기 가능한 파일을 작성하고 자울 수 있습니다. “파일 당 인코딩 당 지원”옵션을 활성화해야합니다. 그러나 “이 라인의 기원 쇼”의 작동은 관계없이 영향을받습니다.

[source]

CVE-2025-27614 (Gitk)

사용자가 속임수를 달리는 경우 gitk filename (어디 filename 특정 구조가 있습니다), 공격자가 제공하는 임의의 스크립트를 실행하여 임의의 코드 실행을 초래할 수 있습니다.

[source]

CVE-2025-46334 (Git Gui, Windows 만 해당)

악성 저장소에 실행 파일이 포함 된 경우 sh.exe또는 일반적인 TextConv 프로그램 (예 : astextplain,,, exif또는 ps2ascii), Windows의 경로 조회는 작업 트리에서 이러한 실행 파일을 찾을 수 있습니다. 이러한 저장소에서 Git Gui를 실행하는 사용자가 메뉴에서 “Git Bash”또는 “Frowse Files”를 선택하면 이러한 프로그램이 호출되어 임의의 코드 실행이 발생할 수 있습니다.

[source]