Git社区披露了一个影响clone和submodule命令的安全漏洞,当存在漏洞的机器访问恶意库时,这些命令可以远程执行代码。这个由Mitre分配了编号CVE-2018-17456的漏洞已在Git 2.19.1中修复。

\\

要触发该漏洞,恶意库可以伪造一个.gitmodules,其中包含以破折号开头的URL。这将影响git clone --recurse-submodules和git submodule update --recursive,因为它们会将这个以破折号开头的URL递归地传递给git clone或git submodule子进程,它们会将该URL解释为命令选项。这可能导致在本地机器上执行任意命令。这个漏洞类似于CVE-2017-1000117,它也是通过伪造以破折号开头的ssh URL实现选项注入攻击,由git执行的ssh子进程会将这些URL解释为命令选项。目前还没有任何已知的不法行为。

\\

\

我们还利用这段时间扫描了GitHub上所有的库,寻找它实际被用于实施攻击的证据。我们很高兴地告诉大家,没有发现攻击实例(现在,在我们的检测下,就没有实例可以添加了)。

\

\\

正如@joernchen提交的修复漏洞的PR所显示的那样,修复本身非常简单。不过,这一发现为.gitmodules的全面审计提供了机会,它会针对其中的路径和URL实现更严格的检查。

\\

如前所述,Git 2.19.1包含了对这个漏洞的修复。另外,该补丁还被反向移植到了2.14.5、2.15.3、2.16.5、2.17.2和2.18.1版本。由于git集成到了GitHub项目(如GitHub Desktop和Atom)中,这些项目也已经得到了修复,所以你最好尽快升级它们。

\\

查看英文原文:New Git Submodule Vulnerability Patched

Git Submodule新漏洞已修复相关推荐

  1. CoreOS Linux Alpha的重大漏洞已修复

    CoreOS Linux Alpha中的一个重大漏洞已修复,安全团队称此问题只影响该Linux发行版的104x.0.0版. \\ 在博客文章<CoreOS Linux Alpha中远程SSH存在 ...

  2. Pwn2Own 2020 曝出的Linux 内核漏洞已修复

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 周二,ZDI 发布安全公告称, Pwn2Own 2020 黑客大赛上被用于在 Ubuntu Desktop上将权限提升至 root 的 ...

  3. 网易SRC指责白帽子私自披露已修复漏洞,强势表态违刑必究

    本文讲的是网易SRC指责白帽子私自披露已修复漏洞,强势表态违刑必究,网络安全法实施第一天,网易安全应急响应中心(NSRC)和一位白帽子争执了起来. 在今天下班时分,网易SRC发布了一则言辞极为激烈的声 ...

  4. Linux Netfilter 防火墙模块爆新漏洞,攻击者可获取root权限

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...

  5. CISA 发布关于 Treck TCP/IP 栈中新漏洞的 ICS 安全公告

     聚焦源代码安全,网罗国内外最新资讯! Treck TCP/IP 栈的安全更新,解决了两个可导致远程代码执行或拒绝服务的严重漏洞.美国网络安全和基础设施安全局 (CISA) 发布安全公告,警告组织机构 ...

  6. 因使用五年前的老旧代码,Azure 容器险遭黑客接管,微软已修复

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软修复了 Azure Container Instances  (ACI) 即 Azurescape中的一个漏洞,它可导致恶意容器接管属于该平 ...

  7. Avast 和 AVG 杀软中的两个高危漏洞已存在10年?!影响数百万设备

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 研究员在Avast和AVG杀软解决方案的一款合法驱动中发现了已潜伏多年的两个高危漏洞:CVE-2022-26522和CVE-2022-26523 ...

  8. os安全漏洞手动修复方案

    本次方案设计主要针对手动安装部署漏洞修复包,方案主要思路提供一个shell脚本,该脚本支持本地漏洞rpm包的checklist.install,rollback. 一.漏洞修复软件包目录结构:inst ...

  9. 速修复!这个严重的Zlib内存损坏漏洞已存在17年!

     聚焦源代码安全,网罗国内外最新资讯! 作者:Jessica Lyons Hardcastle 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人&qu ...

最新文章

  1. windows下载anaconda3速度太慢怎么办
  2. SAP 直接修改程序的方法
  3. PHP 的 empty 和 isset 对比
  4. 漫谈Linux标准的文件系统(Ext2/Ext3/Ext4)
  5. (转)吴寿鹤:区块链中的软分叉与硬分叉详解
  6. Java 添加、读取、删除Excel中的图表趋势线
  7. 【我的开源】股票软件简介+源码(蜗牛股票软件)
  8. 同花顺linux 行情软件,GitHub - zhnlks/puppet: 简单的股票程序化交易系统。核心模块基于同花顺和通达信金融终端。用户交流群:624585416...
  9. Git版本控制管理(七)--提交和查看提交历史
  10. B3610 [图论与代数结构 801] 无向图的块
  11. IT服务管理的实施过程
  12. 你要如何衡量你的人生
  13. 蜗牛连珠五子棋改进版
  14. GEE|typeof、ee.Algorithms.If、ee.Algorithms.IsEqual 语法
  15. 【历史上的今天】7 月 14 日:MP3 诞生日;系统动力学的开创者诞生;正面战胜 IBM 的计算机公司
  16. VMWare Fusion虚拟机安装与配置教程
  17. 崩坏三8月20号服务器维修,崩坏38月20日版本更新维护通知
  18. 经典算法电话号码的字母组合
  19. 对数 java_Java对数函数及Java对数运算
  20. requests.exceptions.SSLError: HTTPSConnectionPool(host=‘edith.xiaohongshu.com‘, port=443): Max retri

热门文章

  1. 当博客系统遇上live2d后
  2. [ES6] 细化ES6之 -- 键值对集合
  3. 实现两(三)列等高布局的方法
  4. 极大似然估计、拉普拉斯平滑定理、M-估计详解
  5. HTTP Get Post
  6. 7-211 求前缀表达式的值 (25 分)
  7. VS2019-C++警告-C6385读取数据无效
  8. 新版python安装包(直接提取安装)
  9. 项目部署—移除Spring Boot内置Tomcat,部署到云服务器Tomcat
  10. JS获取页面中Url的某个参数