12 月 18 日,一项影响 Git 和 Mercurial 的严重安全漏洞公布,它使攻击者可以在客户机上执行任意命令。该漏洞只影响运行在OS X (HFS+)和Windows(NTFS、FAT)上的客户端。Git 核心团队已经为Git 的所有当前版本发布了新版本。
Junio C Hamano 自 2005 年起就是 Git 的维护者,他在博客中描述了该漏洞:
在位于工作树根目录.git/ 下的文件中,Git 维护了库的各种元数据信息。在项目过程中,系统不允许提交那个目录(如.git/config)下的文件,或者从项目检出到工作树。否则,用户可能会无意间对一个看似没有问题实则有恶意的库执行了 git pull,使她库中的元数据信息被覆盖了,或者她所拉取的库的所有者(如攻击者)安装了可执行的钩子。
Junio 继续写道,在不区分大小写的文件系统中,这种防护已被发现不够用,因为,攻击者可以提交一个.Git/anything 文件替换.git 目录中的相应文件。因此,所有使用 FAT 或 NTFS 的 Windows 版本和使用不区分大小写的 HFS+(默认选项)的 OS X 版本都容易受到攻击。
该漏洞还能以其它方式利用。实际上,Windows 和 OS X 都可以将某些不同于.git 的路径元素映射成.git,比如,Windows 上的 git~1/config 和 OS X 上的.g\u200cit/config 都可以当作.git/config 同等对待。
据悉,该漏洞不会影响 Linux 系统,除非它们使用了不区分大小写的文件系统,但这不是一种常见的选择。
微软已经为他们的工具发布了补丁,其中包括Visual Studio 2013 RTM、Visual Studio 2013 Update 4 和VS 2012 VSIX 扩展。而且,虽然该漏洞只影响客户端,但微软还是“在VS Online 和Codeplex 上应用了一个补丁,防止服务器接受推送的.git/config 文件。”
苹果也发布了一个新的Xcode 6.2 beta3 版本来修复该漏洞:“检查包括禁止没有为不区分大小写或Unicode 字符做出解释的路径。该问题通过增加额外的检查得以解决。”
最后,GitHub宣布,他们“已经对github.com 上现有的所有内容完成了自动扫描,查找可能在我们发现这个漏洞之前就已经推送到我们站点的恶意内容”,并进行了一项修改,确保“托管在github.com 上的库不包含任何能够触发该漏洞的恶意工作树。”
查看英文原文: Critical Git and Mercurial Vulnerability on OS X and Windows
暂无签名
腾讯大规模云原生技术实践案例集
本案例集详细阐释了 QQ、腾讯会议、和平精英、小红书、斗鱼、微盟等十多个亿级用户产品背后的大规模云原生...
评论