Git Project 高危远程代码执行漏洞

  • A+
所属分类:网络安全新闻

Git Project 高危远程代码执行漏洞

GitProject解决了Git命令行客户端,GitDesktop和Atom中的一个关键远程代码执行漏洞。

被跟踪为CVE-2018-17456的漏洞可被恶意存储库利用,以便在易受攻击的系统上远程执行命令。

恶意存储库可以创建包含以破折号开头的URL的.gitmodules文件。

当Git使用-recurse-submodules参数克隆存储库时使用破折号将触发命令将URL解释为选项,从而使攻击者可以在计算机上执行远程代码执行。

“当运行”gitclone-recurse-submodules“时,Git会解析提供的.gitmodules文件中的URL字段,然后将其作为参数盲目地传递给”gitclone“子进程。如果URL字段设置为以短划线开头的字符串,则此“gitclone”子进程将URL解释为选项。这可能会导致执行超级项目中的任意脚本作为运行“gitclone”的用户。“

“除了修复运行”clone“的用户的安全问题之外,2.17.2,2.18.1和2.19.1版本还有一个”fsck“检查,可用于在获取或接受时检测此类恶意存储库内容。推。请参阅git-config(1)中的“transfer.fsckObjects”。”

这个漏洞已在Gitv2.19.1,GitHubDesktop1.4.2,GithubDesktop1.4.3-beta0,Atom1.31.2和Atom1.32.0-beta3中得到解决。

用户必须将其安装升级到最新版本的Git客户端,GithubDesktop或Atom。

CE安全网
网络安全宣传推广

发表评论

您必须登录才能发表评论!