分布式版本控制软件 Git 修复远程执行漏洞,官方敦促尽快升级
创始人
2024-05-31 09:20:50
0

IT之家 5 月 31 日消息,Git 分布式版本控制系统已经发布新版本,紧急修复了 5 个安全漏洞,其中最“关键”的漏洞追踪编号为 CVE-2024-32002,可以在“clone”操作中远程执行代码。

IT之家注:Git 是一个分布式版本控制软件,最初由林纳斯・托瓦兹创作,于 2005 年以 GPL 许可协议发布。最初目的是更好地管理 Linux 内核开发而设计。

CVE-2024-32002 漏洞破坏力很大,黑客通过制作特殊的 Git 仓库子模块,可以欺骗 Git Git 将文件写入 .git/ 目录,而不是子模块的工作树。

这样一来,攻击者可以植入恶意的钩子脚本,在克隆操作仍在进行时即被执行,用户几乎无法事先检查即将执行的代码。

在Windows上执行PoC

在Mac上执行PoC

这主要是因为 Git 文件系统支持符号链接(symlinks)且不区分大小写,在递归克隆容易受到大小写混淆的影响,未经身份认证的远程攻击者利用该漏洞使受害者克隆操作期间执行刚刚克隆的代码,从而导致远程代码执行。

官方安全公告指出,禁用 Git 中的符号链接支持(例如,通过 git config --global core.symlinksfalse)可以阻止此攻击。

这些漏洞已在 Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2 和 v2.39.4 中得到修补,如果用户当前使用以下影响版本,请尽快升级:

  • Git 2.45.0
  • Git 2.44.0
  • Git 2.43.* < 2.43.4
  • Git 2.42.* < 2.42.2
  • Git 2.41.0
  • Git 2.40.* < 2.40.2
  • Git < 2.39.4
  • 只影响 Windows 和 Mac 系统

参考

相关内容

热门资讯

8分钟了解(风风字牌)外挂透视... 8分钟了解(风风字牌)外挂透视辅助APP(透视)黑科技辅助APP(2025已更新)(哔哩哔哩)是一款...
透视游戏(pokerrrr2外... 透视游戏(pokerrrr2外挂透明挂辅助平台脚本,太难了)原来是有挂猫腻(哔哩哔哩);德扑锦标赛是...
重要通知!微扑克,蜂娱棋牌原来... 重要通知!微扑克,蜂娱棋牌原来真实是有挂辅助挂,解说技巧(有挂安卓)-哔哩哔哩;蜂娱棋牌软件透明挂更...
如何分辨真伪!Wepoke辅助... 您好,wepoke辅助挂这款游戏可以开挂的,确实是有挂的,需要了解加微【136704302】很多玩家...
6分钟了解(打两圈麻将)透视攻... 6分钟了解(打两圈麻将)透视攻略,外挂辅助挂(2020已更新)(哔哩哔哩)是一款可以让一直输的玩家,...
胜率我来教大家!wpk规律辅助... 胜率我来教大家!wpk规律辅助透视,微扑克专用(辅助器)胜率教程(哔哩哔哩);微扑克专用软件透明挂是...
透明规律(wpk助手)原来到底... 透明规律(wpk助手)原来到底真的有挂(透视)外挂透明挂辅助软件揭秘(有挂线上)是一款可以让一直输的...
九分钟了解(创思维传送屋激k)... 《创思维传送屋激k软件透明挂》是一款多人竞技的创思维传送屋激k辅助透视游戏,你将微扑克对手来到同一个...
教学盘点!德扑安卓,poker... 《教学盘点!德扑安卓,pokerworld下载原来是有挂的,攻略教程(有挂开发)-哔哩哔哩》 pok...
透视游戏!pokerwoeld... 透视游戏!pokerwoeld安卓下载软件透明挂神器(透视)德扑之星记分牌辅助透视底牌(有挂后台)-...