2019獨角獸企業重金招聘Python工程師標準>>>

據外媒 BleepingComputer 報道，Git 項目組于前兩天公布了一個在 Git 命令行客戶端、Git Desktop 和 Atom 中發現的任意代碼執行漏洞，這是一個比較嚴重的安全漏洞，可能會使得惡意倉庫在易受攻擊的計算機上遠程執行命令。

據外媒?報道，Git 項目組于前兩天公布了一個在 Git 命令行客戶端、Git Desktop 和 Atom 中發現的任意代碼執行漏洞，這是一個比較嚴重的安全漏洞，可能會使得惡意倉庫在易受攻擊的計算機上遠程執行命令。

這個漏洞已被分配?CVE-2018-17456 這個唯一 ID，與之前的?CVE-2017-1000117 可選注入漏洞相似 ——?惡意倉庫可以新建一個?.gitmodules 文件，其中包含以破折號開頭的 URL。

通過破折號，當 Git 使用 --recurse-submodules 參數來克隆倉庫時，該命令會將 URL 翻譯為一個選項，然后可以使用該選項在計算機上進行遠程代碼執行。

當運行 "git clone --recurse-submodules" 時，Git 會解析?.gitmodules 文件中的 URL 字段，然后將其作為參數傳遞給?"git clone" 子進程。如果 URL 字段是一個字符串，并使用短劃線開頭，這個 "git clone" 子進程將會把 URL 翻譯為一個選項。這可能導致用戶運行?"git clone" 時，會執行 superproject 中的任意腳本。

下面通過一個例子進行說明，下面的漏洞使用了惡意的?.gitmodules 文件（注意 URL 如何以破折號開頭），以使得 Git 認為這是一個選項。然后 "touch VULNERABLE/git@github.com:/timwr/test.git" 這條命令將會被執行。

此漏洞已在?Git v2.19.1?(with?backports in v2.14.5, v2.15.3, v2.16.5, v2.17.2, and v2.18.1)，?GitHub Desktop 1.4.2, Github Desktop 1.4.3-beta0,?Atom 1.31.2 和 Atom 1.32.0-beta3 中得到修復。

Git 項目組強烈建議所有用戶升級到最新版本的?Git client,?Github Desktop?或?Atom，以免遭受惡意倉庫的攻擊。

原文來自：http://www.open-open.com/news/view/57ee1896

本文地址：https://www.linuxprobe.com/git-vulnerability.html編輯：倪家興，審核員：逄增寶

轉載于:https://my.oschina.net/u/3308739/blog/2872808

總結

以上是生活随笔為你收集整理的Git中的有个致命的远程执行漏洞的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。