¿El git de Xcode sigue siendo vulnerable (CVE-2014-9390)? ¿Cuál es la mejor práctica aquí?

Navega tus respuestas
4

En diciembre, todos y su abuela hablaban de CVE-2014-9390 y todos estábamos ocupados instalando las versiones de mantenimiento de git.

Mirando mi cuota de Xcode hoy, 41 días después, todavía veo una versión 1.9.3 (Apple Git-50) de octubre que está al acecho en /Applications/Xcode.app/Contents/Developer/usr/bin/ .

Apple hizo actualizando git en Xcode 6.2 beta 3 . Pero aparentemente no se molestaron en actualizar su actual "compilación maestra dorada".

Entonces, si está utilizando los servicios git incorporados de Xcode, todavía está trabajando con una versión vulnerable. ¿Cuál es el enfoque recomendado en esta situación? ¿Borrar el archivo?

    
pregunta armin 28.01.2015 - 10:01
fuente

1 respuesta

1

Dado que el exploit se activa solo cuando se extrae de repositorios que no son de confianza, y Apple no ha lanzado parches para versiones anteriores de XCode, tiene dos opciones:

  1. Salta a la rama beta.

  2. No extraiga de repositorios que no sean de confianza. Los repositorios de GitHub son seguros porque no permiten explícitamente los repositorios que contienen el exploit. Actualice los servidores git internos e inspeccione los repositorios desconocidos antes de tirar.

Editar (10/10/15): ¡A partir de hoy, actualizar a XCode 6.2 es una opción! La nueva versión corrige esta opción (ver APPLE-SA-2015-03-09-4)

    
respondido por el Ohnana 30.01.2015 - 17:11
fuente

Lea otras preguntas en las etiquetas

¿Es este un tipo de envenenamiento bayesiano? Gestión de sesiones para frases de contraseña privadas en una aplicación web