Git漏洞导致攻击者可在用户电脑上运行任意代码
\
看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料!
\
\\
Git子模块名称验证中的一个缺陷使得远程攻击者可能在开发者机器上执行任意代码。另外,攻击者可以访问部分系统内存。这两个漏洞已经在Git 2.17.1、2.16.4、2.15.2和其他版本中得到了修复。
\\
安全研究员Etienne Stalmans报告了该漏洞,未打补丁的Git版本不验证子模块名称,因此
\\
\
在克隆代码仓库时,远程仓库可以返回特定的数据来创建或覆盖目标用户系统上的文件,从而可以在目标用户系统上执行任意代码。
\
\\
具体来说,Git会镜像$GIT_DIR/modules目录中的子模块,这些子模块的名字是在$GIT_DIR/.gitmodules中定义的。通过修改.gitmodules文件的内容,可以将../嵌入到子模块名称中,以欺骗Git将子模块写到仓库以外的地方。再加上一个恶意的post-checkout钩子,这就有可能在克隆仓库后立即运行恶意代码。
\\
要修复这个问题,需要给子模块名称增加一些规则,不符合规则的名称将被Git忽略。基本上,..和符号链接是不被允许的。这样可以确保子模块目录不会被保存到$GIT_DIR之外。
\\
Stalmans表示,他可以利用此漏洞在GitHub页面上执行远程代码,不过到目前为止没有出现漏洞被利用的情况。
\\
第二个已修补的漏洞与使用NTFS文件系统的仓库有关,攻击者通过欺骗NTFS路径健全性检查来读取随机内存中的内容。
\\
Git社区已经及时在Git 2.13.7版本中修复了这两个漏洞,修复补丁也已移植到2.14.4、2.15.2、2.16.4和2.17.1中。此外,作为附加安全级别,如果代码仓库包含有问题.gitmodules文件,这些版本将拒绝接受来自用户的推送内容。这是为了:
\\
\
帮助托管网站保护使用老版客户端的用户,防止恶意内容传播。
\
\\
GitHub和其他托管服务已经修补了他们的系统。
\\
查看英文原文:Git Vulnerability May Lead to Arbitrary Code Execution
Git漏洞导致攻击者可在用户电脑上运行任意代码相关推荐
- 计算机如何开启多个用户,电脑上如何打开多个微信账号?
现在很多人有两个微信号,一个用于私人,另一个用于工作.当我们需要在电脑上同时登录两个或多个微信的时候,一般情况下可以采取一个微信用浏览器端打开,另一个微信用电脑客户端打开的方法.如果打算多个微信账号全 ...
- 热门开源CI/CD解决方案 GoCD 中曝极严重漏洞,可被用于接管服务器并执行任意代码...
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 专栏·供应链安全 数字化时代,软件无处不在.软件如同社会中的"虚拟人",已经成为支撑社会正常运转的最基本元素之一,软件的安全 ...
- win10无法将设置应用到计算机,Win10提示应用无法在电脑上运行的原因及可行解决方法...
Win10提示应用无法在电脑上运行的原因及可行解决方法 在Win10系统上安装软件,有时候会遇到系统提示此应用无法在你的电脑上运行.这问题有可能是软件和系统版本不匹配导致的,也有可能是兼容性问题导致的 ...
- Win10显示此应用无法在你的电脑上运行 此应用无法在你的电脑上运行处理办法
我们使用Win10系统久了难免会出现许多问题,像有的用户就遇到了打开软件显示"此应用无法在你电脑上运行"的提示,很多人以为是软件自身的问题,其实我们的电脑没有设置好的话也会出现这种 ...
- Pycharm安装后打开提示:此应用无法在你的电脑上运行,若要找到合适于你的电脑的版本,请咨询发布者。
电脑做了新系统,windows10专业版,64位, 下载的是:pycharm-professional-2022.3.2-aarch64.exe ,安装后提示"无法在电脑上运行"好 ...
- 开机提示小娜无法在本计算机运行,win10 20h2提示此应用无法在你的电脑上运行解决方法...
日常操作的win10 20h2电脑时都需要运行所需的程序, 同时也会在系统中安装一些游戏之类的,但是最近有用户在运行win10 20h2电脑中的程序时却遇到提示此应用无法在你的电脑上运行,对此应该怎么 ...
- 如何将Python项目部署到新电脑上运行?
如何将Python项目部署到新电脑上运行? 在工作中,可能需要在新服务器上部署项目代码,例如新增服务器.把测试环境的代码部署到生产环境等. 在生活中,也会遇到换新电脑,需要将自己在旧电脑上写的(项目) ...
- 2023年的深度学习入门指南(6) - 在你的电脑上运行大模型
2023年的深度学习入门指南(6) - 在你的电脑上运行大模型 上一篇我们介绍了大模型的基础,自注意力机制以及其实现Transformer模块.因为Transformer被PyTorch和Tensor ...
- office 2010 此应用无法你的在电脑上运行 诺要找到适用于你的电脑的版本,请咨询软件发布者
office 2010 安装之后出现一个问题 此应用无法你的在电脑上运行 诺要找到适用于你的电脑的版本,请咨询软件发布者 出现这种问题应该是Office默认程序出现问题导致的,请您右键点击Office ...
最新文章
- 在Eclipse中查看Android SDK源码
- 并不对劲的bzoj2038:p1494:[国家集训队]小Z的袜子
- linux 安装tomcat遇到的问题
- 多线程程序中操作的原子性
- 修改云服务器上文件夹只读属性,求助:为什么我电脑里的文件夹会自动变为只读属性?...
- 华为/华三IS-IS多区域配置及其路由优化
- 个人计算机之前,很久之前的个人pc机 文曲星,是什么档次,jrs还有印象么?
- 微信公众号的使用方法
- 支付宝小程序: h5跳转 小程序
- 有关SoftICE的详细操作指导教程
- python自然语言_Python自然语言处理 - 随笔分类 - 牛皮糖NewPtone - 博客园
- cheng@ARM结构与编程之day3-MOV LSL
- 这几款视频语音转文字软件你值得拥有
- 读博会改变人的性格吗?
- Spark开发实用技巧-从入门到爱不释手
- 【CS231n assignment 2022】Assignment 2 - Part 1,全连接网络的初始化以及正反向传播
- 搭建Iconic+angular混合APP开发环境
- 多帧点云数据拼接合并_基于单帧图像与稀疏点云融合的道路交通标线提取算法研究...
- Win10下安装wsl2
- python矩阵左除_Matlab语法随笔(暂停更新)