【AICon】探索RAG 技术在实际应用中遇到的挑战及应对策略!AICon精华内容已上线73%>>> 了解详情
写点什么

Git Submodule 新漏洞已修复

  • 2018-10-15
  • 本文字数:629 字

    阅读完需:约 2 分钟

Git 社区披露了一个影响clone 和submodule 命令的安全漏洞,当存在漏洞的机器访问恶意库时,这些命令可以远程执行代码。这个由Mitre 分配了编号 CVE-2018-17456 的漏洞已在Git 2.19.1 中修复

要触发该漏洞,恶意库可以伪造一个.gitmodules,其中包含以破折号开头的URL。这将影响git clone --recurse-submodules 和git submodule update --recursive,因为它们会将这个以破折号开头的URL 递归地传递给git clone 或git submodule 子进程,它们会将该URL 解释为命令选项。这可能导致在本地机器上执行任意命令。这个漏洞类似于 CVE-2017-1000117 ,它也是通过伪造以破折号开头的 ssh URL 实现选项注入攻击,由 git 执行的 ssh 子进程会将这些 URL 解释为命令选项。目前还没有任何已知的不法行为。

我们还利用这段时间扫描了 GitHub 上所有的库,寻找它实际被用于实施攻击的证据。我们很高兴地告诉大家,没有发现攻击实例(现在,在我们的检测下,就没有实例可以添加了)。

正如 @joernchen 提交的修复漏洞的PR 所显示的那样,修复本身非常简单。不过,这一发现为.gitmodules 的全面审计提供了机会,它会针对其中的路径和URL 实现更严格的检查

如前所述,Git 2.19.1 包含了对这个漏洞的修复。另外,该补丁还被反向移植到了2.14.5、2.15.3、2.16.5、2.17.2 和2.18.1 版本。由于git 集成到了GitHub 项目(如GitHub Desktop 和Atom)中,这些项目也已经得到了修复,所以你最好尽快升级它们。

查看英文原文: New Git Submodule Vulnerability Patched

公众号推荐:

2024 年 1 月,InfoQ 研究中心重磅发布《大语言模型综合能力测评报告 2024》,揭示了 10 个大模型在语义理解、文学创作、知识问答等领域的卓越表现。ChatGPT-4、文心一言等领先模型在编程、逻辑推理等方面展现出惊人的进步,预示着大模型将在 2024 年迎来更广泛的应用和创新。关注公众号「AI 前线」,回复「大模型报告」免费获取电子版研究报告。

AI 前线公众号
2018-10-15 04:526150
用户头像

发布了 1008 篇内容, 共 372.4 次阅读, 收获喜欢 340 次。

关注

评论 1 条评论

发布
暂无评论
发现更多内容

终于我用JOL打破了你对java对象的所有想象

程序那些事

JOL java对象分析 对象空间占用 java对象

一个草根的日常杂碎(10月7日)

刘新吾

随笔杂谈 生活记录 社会百态

Java 中的Exception 有什么用?

Braisdom

Java Exception

做好微服务架构,并非易事!!

架构师修行之路

微服务

一个草根的日常杂碎(10月6日)

刘新吾

随笔杂谈 生活记录 社会百态

涂鸦红外物联网设备开箱使用

良知犹存

物联网 测评

spring-boot-route(十四)整合Kafka

Java旅途

Java kafka Spring Boot

CPU 执行程序的秘密,藏在了这 15 张图里

Java架构师迁哥

架构师训练营 1 期第 4 周:系统架构 - 总结

piercebn

极客大学架构师训练营

再看传记:试图进入和理解他人的生活

Nydia

Kubeless 如何基于 CPU 自动伸缩? | 玩转 Kubeless

donghui

Serverless kubeless

为什么有了SOA,我们还用微服务?

架构师修行之路

微服务

并发和Read-copy update(RCU)

程序那些事

并发 并发和RCU RCU

两年Java开发经验四面阿里成功拿下P6offer,总结大厂面试的心酸血泪史

Java架构之路

Java 程序员 面试 算法 编程语言

中国银行正式启动区块链产业金融服务项目 ​

CECBC

区块链 金融 金融服务

TensorFlow 篇 | TensorFlow 2.x 模型 Serving 服务

Alex

tensorflow keras tensorflow serving model serving

读10x程序员有感。

杨鹏Geek

程序员 10X工作法

个人数字人民币钱包即将亮相

CECBC

央行 数字人民币

翻译之深入注释俄罗斯民间故事的语料库,以实现对俄罗斯形式主义理论的机器学习

AI代笔

服务器的发展历史

德胜网络-阳

Spring 学习笔记(二)Spring中的一些概念

无语

Spring Framework

一个草根的日常杂碎(10月8日)

刘新吾

随笔杂谈 生活记录 社会百态

汇编入门第一篇,小白也能看懂

cxuan

后端 计算机 汇编

高难度对话读书笔记——聆听篇2

wo是一棵草

区块链 | 最火的七大职业了解一下

CECBC

区块链技术人才

【第四周】系统架构

云龙

甲方日常 28

句子

工作 随笔杂谈 日常

我的openEuler社区参与之旅

openEuler

Linux 开源 操作系统 openEuler

MySQL-技术专题-MySQL的索引

洛神灬殇

典型的大型互联网系统使用了哪些技术方案和手段,主要解决什么问题?

极客海

十一长假我肝了这本超硬核PDF,现决定开源!!

冰河

项目管理 jenkins 互联网工程 持续发布

Git Submodule新漏洞已修复_开源_Sergio De Simone_InfoQ精选文章