Badania pokazują, że hashe podpisanych commitów Git nie są unikalne i mogą być generowane na nowo przez osoby bez klucza prywatnego, przy jednoczesnym zachowaniu statusu “zweryfikowany” przez GitHub. Ta podatność pozwala atakującym na omijanie blokad opartych na hashu, a także wpływa na systemy deduplikacji czy logi pochodzenia kodu, umożliwiając podmianę kodu w lustrach repozytorium bez naruszenia weryfikacji podpisu. Problem leży w sposobie, w jaki platformy weryfikują podpisy, a nie w kryptografii Git.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)