git di Xcode ancora vulnerabile (CVE-2014-9390)? Qual è la migliore pratica qui?

4

A dicembre tutti e sua nonna stavano parlando di CVE-2014-9390 e eravamo tutti impegnati a installare le versioni di manutenzione di git.

Guardando la mia rata Xcode oggi - 41 giorni dopo - Vedo ancora una versione 1.9.3 (Apple Git-50) da ottobre in agguato in /Applications/Xcode.app/Contents/Developer/usr/bin/ .

Apple ha aggiornato git in Xcode 6.2 beta 3 . Ma a quanto pare non si sono preoccupati di aggiornare il loro attuale "master d'oro".

Quindi, se si utilizzano i servizi git incorporati di Xcode, si sta ancora lavorando con una versione vulnerabile. Qual è l'approccio raccomandato in questa situazione? Elimina il file?

    
posta armin 28.01.2015 - 10:01
fonte

1 risposta

1

Poiché l'exploit viene attivato solo quando si estraggono da repository non attendibili e Apple non ha rilasciato patch per versioni precedenti di XCode, si hanno due opzioni:

  1. Vai al ramo beta.

  2. Non estrarre da repository non attendibili. I repository GitHub sono sicuri, in quanto esplicitamente non consentono agli archivi contenenti l'exploit. Aggiorna i server git interni e ispeziona i repository sconosciuti prima di eseguire il pull.

Modifica (3/10/15): A partire da oggi, l'aggiornamento a XCode 6.2 è un'opzione! La nuova versione corregge questa opzione (vedi APPLE-SA-2015-03-09-4)

    
risposta data 30.01.2015 - 17:11
fonte

Leggi altre domande sui tag