CVE-2025-48384

Git Git

ВЕРОЯТНОСТЬ 0.5%
Дата обнаружения

2025-08-25

Официальное описание

Git contains a link following vulnerability that stems from Git’s inconsistent handling of carriage return characters in configuration files.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-48384 связана с некорректной обработкой символов возврата каретки (carriage return, \r) при чтении и парсинге конфигурационных файлов Git (например, .gitmodules или .git/config).

Из-за этой логической ошибки злоумышленник может создать специально подготовленный репозиторий, содержащий вредоносные конфигурационные файлы с внедренными символами \r. При клонировании такого репозитория или выполнении команд обновления (например, git pull или git submodule update), Git неправильно интерпретирует пути. Это приводит к уязвимости типа "следование по ссылкам" (link following), что позволяет атакующему выйти за пределы рабочей директории репозитория. В результате возможны несанкционированное чтение конфиденциальных файлов системы, их перезапись или, в критических сценариях, выполнение произвольного кода (RCE) через подмену исполняемых хуков (Git hooks).

Как исправить

Единственный гарантированный способ устранения данной уязвимости — обновление клиента Git до актуальной версии, содержащей официальный патч безопасности от разработчиков.

Для систем на базе Debian/Ubuntu:

apt-get update && apt-get install --only-upgrade git

Для систем на базе RHEL/CentOS/AlmaLinux:

dnf update git

Для macOS (при использовании Homebrew):

brew upgrade git

Для Windows (через Windows Package Manager):

winget upgrade Git.Git

После установки обновления обязательно проверьте текущую версию Git, чтобы убедиться в успешном применении патча:

git --version

Временные меры

Если немедленное обновление инфраструктуры или рабочих станций разработчиков невозможно, необходимо внедрить следующие компенсирующие меры (workarounds):

  • Отключите поддержку символических ссылок в Git на глобальном уровне. Это предотвратит эксплуатацию уязвимости через вредоносные симлинки, однако может повлиять на легитимные проекты, использующие их:
git config --global core.symlinks false
  • Строго запретите клонирование репозиториев из недоверенных или внешних источников до момента установки патча.
  • При необходимости работы с внешним кодом используйте жестко изолированные среды (одноразовые Docker-контейнеры или виртуальные машины без доступа к основной файловой системе и корпоративной сети).
  • Настройте системы обнаружения вторжений (IDS/IPS) и EDR-решения на мониторинг аномальной активности процессов git, особенно попыток записи или чтения файлов за пределами стандартных директорий проектов (например, попытки обращения к ~/.ssh/ или /etc/).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей