In de software die ontwikkelaars gebruiken voor het beheren van broncode is een beveiligingslek gepatcht waardoor een aanvaller in het ergste geval willekeurige code op het systeem van de ontwikkelaar had kunnen uitvoeren. Het gaat om de versiebeheersystemen Git, Subversion en Mercurial.
Door een kwetsbaarheid in de wijze waarop de versiebeheersystemen omgingen met hostnamen in ssh-url's kon een kwaadwillende op afstand willekeurige code uitvoeren. In het geval van Subversion kon dit via svn:externals properties of door het slachtoffer een "svnsync sync" uit te laten voeren, zo laat het Nationaal Cyber Security Centrum (NCSC) weten.
Git-mainter Junio C Hamano waarschuwt dat een aanvaller in het geval van Git de ssh-url aan het gitmodule-bestand van een kwaadaardige Git-repository had kunnen toevoegen. Als een ontwikkelaar vervolgens deze module aan zijn eigen softwareproject zou toevoegen, zou bij het uitvoeren van het commando "git clone --recurse-submodules" de kwaadaardige ssh-url op zijn systeem worden uitgevoerd. Voor de versiebeheersystemen is nu een update uitgekomen.
Deze posting is gelocked. Reageren is niet meer mogelijk.