Relaciones

En una reciente actualización, el proyecto Git ha lanzado nuevas versiones para abordar dos vulnerabilidades de seguridad, identificadas como CVE-2024-50349 y CVE-2024-52006. Estos fallos afectan a todas las versiones anteriores de Git, y la comunidad de desarrollo ha actuado rápidamente para ofrecer soluciones efectivas.


La vulnerabilidad CVE-2024-50349 se presenta cuando Git necesita completar credenciales de cliente de manera interactiva, sin utilizar un asistente de credenciales. En este proceso, Git muestra el nombre de un host y solicita al cliente que complete el cliente y la contraseña correspondientes. Sin embargo, el problema surge cuando Git imprime el nombre del host después de decodificar la URL, lo que permite a un atacante crear URLs con secuencias de escape ANSI. Estas secuencias pueden ser utilizadas para construir un mensaje engañoso, incitando al usuario a compartir credenciales para un host diferente controlado por el atacante.


Por otra parte, CVE-2024-52006 está relacionada con el uso de un asistente de credenciales. Aquí, se emplea un protocolo basado en líneas para intercambiar información entre Git y el asistente de credenciales. Un URL especialmente configurada con un retorno de carro puede inyectar valores no deseados en el flujo del protocolo. Esto podría resultar en que el asistente recupere la contraseña de un servidor y la envíe a otro, una acción que podría tener serias implicaciones de seguridad.