写点什么

Git 漏洞导致攻击者可在用户电脑上运行任意代码

  • 2018-06-05
  • 本文字数:780 字

    阅读完需:约 3 分钟

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

Git 子模块名称验证中的一个缺陷使得远程攻击者可能在开发者机器上执行任意代码。另外,攻击者可以访问部分系统内存。这两个漏洞已经在 Git 2.17.1、2.16.4、2.15.2 和其他版本中得到了修复。

安全研究员 Etienne Stalmans 报告了该漏洞,未打补丁的 Git 版本不验证子模块名称,因此

在克隆代码仓库时,远程仓库可以返回特定的数据来创建或覆盖目标用户系统上的文件,从而可以在目标用户系统上执行任意代码。

具体来说,Git 会镜像 $GIT_DIR/modules 目录中的子模块,这些子模块的名字是在 $GIT_DIR/.gitmodules 中定义的。通过修改.gitmodules 文件的内容,可以将…/ 嵌入到子模块名称中,以欺骗 Git 将子模块写到仓库以外的地方。再加上一个恶意的 post-checkout 钩子,这就有可能在克隆仓库后立即运行恶意代码。

要修复这个问题,需要给子模块名称增加一些规则,不符合规则的名称将被 Git 忽略。基本上,…和符号链接是不被允许的。这样可以确保子模块目录不会被保存到 $GIT_DIR 之外。

Stalmans 表示,他可以利用此漏洞在 GitHub 页面上执行远程代码,不过到目前为止没有出现漏洞被利用的情况。

第二个已修补的漏洞与使用 NTFS 文件系统的仓库有关,攻击者通过欺骗 NTFS 路径健全性检查来读取随机内存中的内容。

Git 社区已经及时在 Git 2.13.7 版本中修复了这两个漏洞,修复补丁也已移植到 2.14.4、2.15.2、2.16.4 和 2.17.1 中。此外,作为附加安全级别,如果代码仓库包含有问题.gitmodules 文件,这些版本将拒绝接受来自用户的推送内容。这是为了:

帮助托管网站保护使用老版客户端的用户,防止恶意内容传播。

GitHub 和其他托管服务已经修补了他们的系统。

查看英文原文 Git Vulnerability May Lead to Arbitrary Code Execution

2018-06-05 16:141533
用户头像

发布了 731 篇内容, 共 454.0 次阅读, 收获喜欢 2003 次。

关注

评论

发布
暂无评论
发现更多内容

ZBC Staking 即将开启,全新利好来袭

西柚子

Java干货分享—Calendar 类的使用

java易二三

Java 编程 程序员

AI开发硬件基础经验

timerring

AI

时光“摆渡者”,让回忆“闪现”眼前

白洞计划

AI 存储

Java基础——IO流

java易二三

Java 编程 程序员

openGauss DBMind上的多指标关联性分析介绍

daydayup

opengauss

ZBC Staking 即将开启,全新利好来袭

威廉META

深入浅出openGauss的执行器基础

daydayup

opengauss

演讲实录:指标平台+AI 的技术落地和未来展望

Kyligence

Kyligence Copilot

Code片段 GC

Bert

使用 Python 处理 CSV 文件,附示例

前端毛小悠

Python

ZBC Staking 即将开启,全新利好来袭

股市老人

ZBC Staking 即将开启,全新利好来袭

大瞿科技

基础软件加速自主创新,openGauss成就业务“新箭头”

daydayup

opengauss

ZBC Staking 即将开启,全新利好来袭

鳄鱼视界

openGauss数据库源码解析系列文章——执行器解析

daydayup

opengauss

PoseiSwap 即将开启 POSE 单币质押,治理体系将全面运行

大瞿科技

Code片段D

Bert

C++ 结合 opencv读取图片与视频

芯动大师

基于 Graviton2处理器构建容器化基因分析工作负载

亚马逊云科技 (Amazon Web Services)

云计算

Java——二维数组的用法

java易二三

Java 基础入门

Java大数字运算之BigDecimal 类

java易二三

Java 程序员 程序猿

通过降本增效,提升测试价值

老张

研发效能 降本增效

AI开发软件环境

timerring

AI

黄凯耀:深度解读openGauss架构创新与新特性

daydayup

opengauss

李士福:openGauss 自驾驶数据库内核在AI领域的探索和创新

daydayup

opengauss

openGauss:共建数据库根社区,打造开源数据库核心竞争力

daydayup

opengauss

openGauss都做了哪些算子优化工作?

daydayup

opengauss

Git漏洞导致攻击者可在用户电脑上运行任意代码_开源_Sergio De Simone_InfoQ精选文章