Cine, ce și unde: Agenția americană pentru securitate cibernetică CISA avertizează că hackerii profită de o vulnerabilitate din sistemul de control al versiunilor Git, iar organizațiile federale din SUA trebuie să aplice patch-urile până pe 15 septembrie.
Git e coloana vertebrală a colaborării în dezvoltare software, platforme cunoscute precum GitHub, GitLab sau Bitbucket se bazează pe el. Problema semnalată are gravitate ridicată și figurează ca CVE-2025-48384. Cauza e o gestionare necorespunzătoare a caracterului carriage return (r) din fișierele de configurare: Git scrie și citește acel caracter diferit, ceea ce duce la rezolvarea greșită a căilor pentru submodule.
Atacatorii pot publica depozite care conțin submodule cu nume ce se termină în r și un symlink construit special, plus un hook malițios. Dacă cineva clonează astfel de repo cu submodule în mod recursiv, acel proces poate declanșa executarea de cod arbitrar pe mașina utilizatorului. Bug-ul a fost descoperit pe 8 iulie 2025, iar dezvoltatorii Git au livrat corecții în versiunile 2.43.7, 2.44.4, 2.45.4, 2.46.4, 2.47.3, 2.48.2, 2.49.1 și 2.50.1.
Dacă actualizarea nu este imediat posibilă, măsurile recomandate includ evitarea clonării recursive de submodule din surse neîncredere, dezactivarea globală a hook-urilor prin setarea core.hooksPath sau acceptarea doar a submodulelor auditate. Nu e o soluție ideală, dar reduce expunerea până se poate face update.
Tot în catalogul KEV, CISA a adăugat și două vulnerabilități din Citrix Session Recording remediate de vendor în noiembrie 2024: CVE-2024-8068 și CVE-2024-8069, ambele cu severitate medie. Prima permite unui utilizator autentificat din același domeniu Active Directory cu serverul Session Recording să escaladeze privilegii la contul NetworkService. A doua dă posibilitatea unui utilizator autentificat din intranet să obțină o execuție limitată de cod cu privilegii NetworkService prin deserializarea de date neîncredere.
Aceste probleme afectează versiunile Citrix Session Recording anterioare patch-urilor indicate: 2407 hotfix 24.5.200.8 (CR), 1912 LTSR înainte de CU9 hotfix 19.12.9100.6, 2203 LTSR înainte de CU5 hotfix 22.03.5100.11 și 2402 LTSR înainte de CU1 hotfix 24.02.1200.16. CISA le-a dat organizațiilor același termen, 15 septembrie, pentru a aplica remedierile furnizate sau pentru a opri folosirea produselor vulnerabile.
Îți actualizezi depozitele Git sau serverele Citrix din timp sau aștepți patch-ul următor?
vai, iar treaba asta cu git… cine stia, bine sa fie patch, da na.
wow, chestia cu CR asta e genul de bug care te uiti la cod si zici “serios?” dar e real. eu am avut o experiență acum vreo 2 ani cu submodule ciudate care mi-au dat voie sa pun chestii ciudate in tree, deci nu ma mir. recomandarea mea: daca nu poți face update imediat, pune un runner/container izolat pt clone-uri din surse necunoscute si dezactivează hook-urile global — eu fac asta pe mașina mea de dev, mai bine precaut.
ah, si verifica versiunea git pe CI/CD ca multe pipeline-uri rulează imagini vechi. dacă folosiți CI cloud, uneori au git-ul deja actualizat, dar nu te bizui pe asta, vedeți explicit ce versiune e.
pt Citrix: patch-uirea e obigatorie in multe medii, dar daca nu poți, segmentează rețeaua si limitează accesul la servere Session Recording — isolare si principiul least-privilege ajuta mult.
nu e panică, dar nici lasa pe mâine. eu o să fac update la toate mașinile din lab weekendul ăsta, cine știe… na, asta e.
Ați patch-uit deja Git/Citrix sau mai așteptați următorul update, și dacă nu, cine din echipă se ocupă efectiv de deploy până la 15 sept?