Kerentanan Critical yang Belum Ditambal Terungkap di Layanan Git Sumber Terbuka Gogs yang Populer

Kerentanan Critical yang Belum Ditambal Terungkap di Layanan Git Sumber Terbuka Gogs yang Populer

Posted by : Admin , Jul 22, 2024
Empat kerentanan keamanan yang belum ditambal pada layanan Git sumber terbuka Gogs telah diungkap, tiga di antaranya Critical. Kerentanan (CVE-2024-39930, CVE-2024-39931, CVE-2024-39932, dan CVE-2024-39933) memungkinkan penyerang yang terautentikasi untuk mengeksekusi perintah yang sewenang-wenang, menghapus file, atau membaca data sensitif. Kerentanan ini membutuhkan pengguna yang terautentikasi dan dalam beberapa kasus, kunci privat SSH yang valid. Instance yang rentan terutama ditemukan pada sistem Debian dan Ubuntu. Pengguna disarankan untuk menonaktifkan server SSH bawaan, mematikan registrasi pengguna, atau beralih ke Gitea. SonarSource telah merilis sebuah tambalan, tetapi belum diuji secara ekstensif. Selain itu, Aqua juga menemukan bahwa informasi sensitif yang dihapus dari repositori Git masih bisa diakses melalui tampilan cache, sehingga menimbulkan risiko keamanan yang berkelanjutan.

Sumber : https://thehackernews.com/2024/07/critical-vulnerabilities-disclosed-in.html