Git 和 Mercurial 在 OS X 和 Windows 上现严重漏洞

  • Sergio De Simone
  • 谢丽

2014 年 12 月 22 日

话题:微软WindowsGitHubDevOpsGit语言 & 开发架构文化 & 方法

12 月 18 日,一项影响 Git 和 Mercurial 的严重安全漏洞公布,它使攻击者可以在客户机上执行任意命令。该漏洞只影响运行在 OS X (HFS+)和 Windows(NTFS、FAT)上的客户端。Git 核心团队已经为 Git 的所有当前版本发布了新版本。

Junio C Hamano自 2005 年起就是 Git 的维护者,他在博客中描述了该漏洞:

在位于工作树根目录.git/ 下的文件中,Git 维护了库的各种元数据信息。在项目过程中,系统不允许提交那个目录(如.git/config)下的文件,或者从项目检出到工作树。否则,用户可能会无意间对一个看似没有问题实则有恶意的库执行了 git pull,使她库中的元数据信息被覆盖了,或者她所拉取的库的所有者(如攻击者)安装了可执行的钩子。

Junio 继续写道,在不区分大小写的文件系统中,这种防护已被发现不够用,因为,攻击者可以提交一个.Git/anything 文件替换.git 目录中的相应文件。因此,所有使用 FAT 或 NTFS 的 Windows 版本和使用不区分大小写的 HFS+(默认选项)的 OS X 版本都容易受到攻击。

该漏洞还能以其它方式利用。实际上,Windows 和 OS X 都可以将某些不同于.git 的路径元素映射成.git,比如,Windows 上的 git~1/config 和 OS X 上的.g\u200cit/config 都可以当作.git/config 同等对待。

据悉,该漏洞不会影响 Linux 系统,除非它们使用了不区分大小写的文件系统,但这不是一种常见的选择。

微软已经为他们的工具发布了补丁,其中包括 Visual Studio 2013 RTM、Visual Studio 2013 Update 4 和 VS 2012 VSIX 扩展。而且,虽然该漏洞只影响客户端,但微软还是“在 VS Online 和 Codeplex 上应用了一个补丁,防止服务器接受推送的.git/config 文件。”

苹果也发布了一个新的 Xcode 6.2 beta3 版本来修复该漏洞:“检查包括禁止没有为不区分大小写或 Unicode 字符做出解释的路径。该问题通过增加额外的检查得以解决。”

最后,GitHub宣布,他们“已经对 github.com 上现有的所有内容完成了自动扫描,查找可能在我们发现这个漏洞之前就已经推送到我们站点的恶意内容”,并进行了一项修改,确保“托管在 github.com 上的库不包含任何能够触发该漏洞的恶意工作树。”

查看英文原文:Critical Git and Mercurial Vulnerability on OS X and Windows

微软WindowsGitHubDevOpsGit语言 & 开发架构文化 & 方法