Kerentanan kritis di Git, yang diidentifikasi sebagai CVE-2024-32002, baru-baru ini terungkap dan menimbulkan risiko signifikan bagi pengguna sistem kontrol versi yang banyak digunakan.
Kerentanan ini memungkinkan eksekusi kode jarak jauh (RCE) selama kloning repositori dengan submodul, dan eksploitasi proof-of-concept (PoC) telah dirilis, sehingga meningkatkan kekhawatiran dalam komunitas keamanan siber, sebuah tweet dari ThreatMon.
🚨 GIT CVE-2024-32002 RCE Exploit
— ThreatMon (@MonThreat) May 22, 2024
The CVE-2024-32002 exploit, a vulnerability in GIT (Version Control System) open to remote access, has been disclosed. Prior to versions 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2, and 2.39.4, repositories with submodules could be created… pic.twitter.com/Rm4Gfhcl50
CVE-2024-32002 – Detail Kerentanan
Kerentanan CVE-2024-32002 mengeksploitasi interaksi halus antara sistem file yang tidak membedakan huruf besar dan kecil dan tautan simbolik.
Dengan membuat repositori dengan submodul yang dirancang khusus dan tautan simbolik, penyerang dapat menipu Git agar mengeksekusi skrip berbahaya selama proses kloning. Untuk mengurangi risiko yang terkait dengan CVE-2024-32002, pengguna disarankan untuk menonaktifkan dukungan tautan simbolik di Git dengan menggunakan perintah git config –global core.symlinks false. Selain itu, sangat penting untuk menghindari kloning repositori dari sumber yang tidak tepercaya.
Git telah merilis patch dalam versi v2.45.1, v2.44.1, v2.43.4, v2.42.2, v2.41.1, v2.40.2, dan v2.39.4 untuk mengatasi kerentanan ini dan lainnya, termasuk CVE-2024-32004, yang juga memungkinkan RCE tetapi dalam kondisi yang berbeda.
Meluasnya penggunaan Git dalam pengembangan perangkat lunak, termasuk platform seperti GitHub dan GitLab, memperbesar potensi dampak kerentanan ini. Bagi mereka yang tidak dapat segera memperbarui, disarankan untuk berhati-hati saat mengkloning repositori dari sumber yang tidak tepercaya. Komunitas keamanan siber terus memantau situasi ini dengan cermat, dengan upaya berkelanjutan untuk meningkatkan keamanan Git dan alat terkait.
Untuk informasi dan pembaruan lebih detail, kunjungi halaman Keamanan Git di GitHub dan terus dapatkan informasi tentang saran dan masalah keamanan terbaru terkait Git.
Sumber = Cyber Security News
