Vulnerabilidad en Minder (CVE-2024-37904)

Minder es una plataforma de seguridad de la cadena de suministro de software de código abierto. El proveedor Git de Minder es vulnerable a una denegación de servicio desde un repositorio GitHub configurado maliciosamente. El proveedor de Git clona los repositorios de los usuarios utilizando la librería `github.com/go-git/go-git/v5` en las líneas `L55-L89`. El proveedor de Git hace lo siguiente en las líneas "L56-L62". Primero, establece `CloneOptions`, especificando la URL, la profundidad, etc. Luego valida las opciones. Luego configura un sistema de archivos en memoria, al cual clona y, finalmente, clona el repositorio. El método `(g *Git) Clone()` es vulnerable a un ataque DoS: un usuario de Minder puede indicarle a Minder que clone un repositorio grande que agotará la memoria y bloqueará el servidor de Minder. La causa principal de esta vulnerabilidad es una combinación de las siguientes condiciones: 1. Los usuarios pueden controlar la URL de Git que Minder clona, 2. Minder no impone un límite de tamaño al repositorio, 3. Minder clona todo el repositorio en la memoria. Este problema se solucionó en el commit `7979b43` que se incluyó en la versión v0.0.52. Se recomienda a los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.