Tags

1 strona

Commity

Podpisane commity na GitHubie można przepisać, zachowując status "zweryfikowany"

Podpisane commity na GitHubie można przepisać, zachowując status "zweryfikowany", co stwarza ryzyko dla bezpieczeństwa kodu.

Badania pokazują, że hashe podpisanych commitów Git nie są unikalne i mogą być generowane na nowo przez osoby bez klucza prywatnego, przy jednoczesnym zachowaniu statusu “zweryfikowany” przez GitHub. Ta podatność pozwala atakującym na omijanie blokad opartych na hashu, a także wpływa na systemy deduplikacji czy logi pochodzenia kodu, umożliwiając podmianę kodu w lustrach repozytorium bez naruszenia weryfikacji podpisu. Problem leży w sposobie, w jaki platformy weryfikują podpisy, a nie w kryptografii Git.

Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)