Git现重大漏洞,Atom也波及,尽快打补丁!
NSSpeak信息安全 2018-10-09
Git Project于上周发布Git 2.19.1,以修补一个可能导致远端攻击的重大漏洞,且该漏洞影响GitHub桌面版、文字编辑器Atom、命令行版本的Git,以及其它任何嵌入Git的应用。GitHub也紧急修补了这个漏洞。这个漏洞由一位白帽黑客joernchen向GitHub漏洞奖励机制提出通告。
此一编号为CVE-2018-17456的安全漏洞允许黑客在存储库中建立一个.gitmodules文档,内含一个以破折号为首的URL,当使用者以--recurse-submodules复制该储存库时,Git会解析.gitmodules中的URL,直接把它当作子程序中的自变量,并把含有破折号的URL当作选项,即能执行于上层项目(superproject)中的任意脚本程序。
除了Git 2.19.1之外,Git项目也修补了2.14.5、2.15.3、2.16.5、2.17.2及2.18.1等旧版本的相关漏洞。此外,在2.17.2, 2.18.1及2.19.1中也提供一个fsck的检查功能,能够在取得或接受一个「上传」(Push)时检查这类的恶意存储库。
受影响的Git应用包括GitHub Desktop 1.4.1及之前的版本,使用者可更新至1.4.2或1.4.3测试版,Atom用户则可升级到1.31.2及1.32.0测试版。应该要更新的还有命令行版本的Git用户,以及任何嵌入Git的应用程序。
Git Project指出,不论是GitHub.com或GitHub Enterprise都未直接受到此一漏洞的影响,其中,GitHub.com已能侦测并防止这类的恶意存储库,预计于10月9日出炉的GitHub Enterprise也将具备相关的侦测能力。
