Skip to content

GitHubi kinnitatud commit’e saab kehtiva pitseriga teisendada uuteks räsideks

Lühidalt: Giti commitite allkirjad ei kaitse räsikollisioonide eest, kuna sama allkirjastatud sisu põhjal saab luua mitu erinevat commiti räsi, millel kõigil on kehtiv pitser.

Uuring näitab, et allkirjastatud Giti commitid ei ole räsiväärtuse järgi üheselt identifitseeritavad: ründaja saab ilma privaatvõtmeta luua teise commiti, millel on samad failid, autor ja kuupäev ning mis samuti kuvatakse GitHubis märgistusega „Verified” – erineb ainult räsiväärtus.

Giti ja GitHubi turvamudel põhineb eeldusel, et iga commit on identifitseeritav kordumatu krüptograafilise räsi kaudu. Uurimistulemused viitavad nüüd sellele, et see eeldus on ekslik: ründaja saab iga allkirjastatud commiti kohta genereerida teise commiti, millel on samad failid, autoriandmed ja ajatempel ning mille GitHub samuti märgistab rohelise „Verified”-märgisega – erineb ainult räsiväärtus.

Koodiülevaatuse ja turbeauditite jaoks on see asjaolu oluline, kuna ülevaatajad kontrollivad tavaliselt järgmisi punkte: allkirjastatuse staatus, autor, kuupäev ja failide sisu. Kõik need tunnused langevad kokku, kui ründaja loob sellise duplikaatcommiti. Erinev räsiväärtus jääb seejuures sageli märkamatuks, kuigi just see on repositooriumi tegeliku terviklikkuse tunnus.

Mõju infoturbejuhtidele on märkimisväärne: tarneahela turvameetmed, mis toetuvad Giti allkirjadele ja commitite räsidele kui kontrollielemendile, võivad sellest tehnikast mööda hiilida. Koodi skaneerimise tööriistad ja auditijäljed, mis jälgivad või valideerivad commite nende räside põhjal, võivad olla ekslikult seadistatud, kui need ei kontrolli selgesõnaliselt räsi enda kordumatust ja muutumatust.

Üks konkreetne kaitsemeede on mitte pidada commiti räsi iseenesest piisavaks, vaid rakendada täiendavaid kontrollimehhanisme, näiteks allkirju Merkle puu tasandil või väliseid atesteerimissüsteeme. Samal ajal peaksid arendajate juhised selgelt sätestama, et „Verified”-märgis üksi ei kaitse seda tüüpi ründe eest.


Allikas: thehackernews.com · Avaldatud 8. juuli 2026
Lumi AI News — tehisintellekti abil kureeritud vastavalt tehisintellektimääruse art 50-le. Parafraseerimine ja klassifitseerimine Lumi News Pipeline v1.7.3 poolt.

Share on: