一场由Git引发的漏洞危机,影响到的将是社区上的全体开发者。

5月29日,微软Visual Studio Team Services项目经理Edward Thomson在DevOps博客中提到,Git社区最近发现Git存在的漏洞,允许黑客在用户的系统上远程执行任意代码。

目前,Git和各种提供Git存储库托管服务的公司开发人员已采取相关措施,以修复在Git源代码版本控制软件中的危险漏洞。

据了解,Git 2.17.1的客户端软件已经发布,该补丁修复了两个安全漏洞CVE-2018-11233和CVE-2018-11235。

Git漏洞产生于何处?

其中,CVE 2018-11235 被认为最危险的漏洞,它的一段代码允许恶意行为创建一个包含特殊Git子模块的格式错误的Git存储库。

在Edward Thomson的技术说明中这样阐述:

当用户在恶意代码库中操作时,他们可能会受到任意代码执行攻击。远程代码存储库包含子模块定义和数据,它们作为文件夹捆绑在一起并提交给父代码存储库。当这个代码仓库被来回复制时,Git最初会将父仓库放到工作目录中,然后准备复制子模块。

但是,Git 稍后会发现它不需要复制子模块,因为子模块之前已经提交给父存储库,它也被写入工作目录,这个子模块已经存在于磁盘上。 因此,Git 可以跳过抓取文件的步骤,并直接在磁盘上的工作目录中使用子模块。

正是子模块配置漏洞犯了这个错误,所以 Git 由子模块来设置漏洞。 子模块存储库提交给父存储库,并且从未实际复制过。子模块存储库中可能存在已配置的挂钩。 当用户再次出现时,恶意的父库会被精心设计。将写入工作目录,然后 Git读取子模块,将这些子模块写入工作目录,最后一步执行子模块存储库中的任何 Post-checkout 挂钩。

如何解决这一问题?

起先,发现该漏洞是一位名为Etienne Stalmans的人,他通过GitHub的bug奖励计划进行了报告。

随后,Thomson进行了补充说明,如果用户在他的博客上运行易受攻击的Git客户端便可进行检测。

具体如下:

这一问题的解决方案非常简单有效:现在,Git客户端可以更仔细地检查子模块的文件夹名称。它们必须位于.git存储库文件夹中,而不在实际的存储库工作目录中。

Git将拒绝与包含此类子模块配置的存储库一起运行。 Visual Studio Team Services以及其他多数托管提供商,将主动拒绝推送包含此类子模块配置的存储库,以帮助保护尚未升级的客户端。

GitHub的一名工作人员 Jeff King提到:“漏洞修复本身不难,但在Git推送操作期间的检测需要大量重构。”

他补充道,这其中还涉及很多项目。“我为Git编写了补丁,但其他人还在编写libgit2,JGit和VSTS”。

不过在最后,还是建议用户需更新自己的Git桌面或服务器客户端。

参考链接:

https://blogs.msdn.microsoft.com/devops/2018/05/29/announcing-the-may-2018-git-security-vulnerability/

Git曝最危险漏洞,允许攻击者远程执行代码!相关推荐

  1. Edge 的 0day 漏洞:可远程执行代码;苹果手机被曝砍单,富士康或被迫裁员

    (给技术最前线加星标,每天看技术热点) 转自:开源中国.solidot.cnBeta.腾讯科技.快科技等 [技术资讯] 0.安全专家发现 Edge 的 0day 漏洞:可远程执行代码 安全研究专家 Y ...

  2. wordpress漏洞_WordPress XSS漏洞可能导致远程执行代码(RCE)

    原作者: Ziyahan Albeniz 在2019年3月13日,专注于静态代码分析软件的RIPS科技公司发布了他们在所有版本的WordPress 5.1.1中发现的跨站点脚本(XSS)漏洞的详细信息 ...

  3. ie浏览器修复_腾讯安全:IE浏览器曝远程执行代码漏洞 腾讯安全强势推出漏洞修复工具...

    近日,微软发布一例远程执行代码漏洞(CVE-2019-1367)漏洞修复补丁,攻击者可利用网页挂马和邮件进行攻击,得手后获取用户权限,控制大量系统,造成严重影响.腾讯安全团队自该漏洞安全公告发布之后, ...

  4. 绿盟科技网络安全威胁周报2017.19 关注Microsoft恶意软件防护引擎远程执行代码漏洞CVE-2017-0290...

    绿盟科技发布了本周安全通告,周报编号NSFOCUS-17-19,绿盟科技漏洞库本周新增75条,其中高危61条.本次周报建议大家关注 Microsoft恶意软件防护引擎远程执行代码漏洞 .目前,微软官方 ...

  5. 和远程ip_漏洞Microsoft Windows TCP/IP 远程执行代码漏洞威胁通告

    2020年10月14日,中测安华必达实验室技术团队依托监测平台第一时间发现微软公司(Microsoft)披露了Microsoft Windows TCP/IP 远程执行代码漏洞(CVE-2020-16 ...

  6. 【复现】CVE-2015-1635-HTTP.SYS远程执行代码漏洞(ms15-034)

    1.1.1  漏洞描述 在2015年4月安全补丁日,微软发布的众多安全更新中,修复了HTTP.sys中一处允许远程执行代码漏洞,编号为:CVE-2015-1635(MS15-034 ).利用HTTP. ...

  7. 和远程ip_【漏洞预警】Windows TCP/IP远程执行代码漏洞(CVE202016898)

    2020年10月13日,阿里云应急响应中心监测到微软发布补丁修复了TCP/IP远程执行代码漏洞(CVE-2020-16898),官方评级严重.目前微软官方已提供相应的月度安全补丁以修复该漏洞. 漏洞描 ...

  8. CVE-2015-1635-HTTP.SYS远程执行代码漏洞(ms15-034)

    CVE-2015-1635-HTTP.SYS远程执行代码漏洞(ms15-034) 安全公告 漏洞复现 在2015年4月安全补丁日,微软发布的众多安全更新中,修复了HTTP.sys中一处允许远程执行代码 ...

  9. Microsoft Windows CredSSP 远程执行代码漏洞CVE-2018-0886

    Microsoft Windows CredSSP 远程执行代码漏洞 Microsoft Windows Server 2008 SP2和R2 SP1,Windows 7 SP1,Windows 8. ...

最新文章

  1. MMD_5a_Clustering
  2. 图解WinCE6.0下的内核驱动和用户驱动
  3. java - 人员分配组合
  4. mozilla js 引擎_Mozilla的内容拦截器,新JavaScript引擎以及更多开源新闻
  5. 推荐算法工程师必备!!!协同过滤推荐算法总结
  6. 小白0代码基础学习RF接口测试心灵路程
  7. 机器学习十大算法案例
  8. java mset_调用java jredis mset方法异常
  9. android 上传图片视频教程,秒拍怎么上传长视频 秒拍APP拍长视频并上传图文教程...
  10. 【论文】Deep Pyramidal Residual Networks(译)
  11. C#开发微信订阅号、服务号视频教程-翟东平-专题视频课程
  12. python中语法错误英文提示解析(可能没有解决方案)
  13. 决策树模型 朴素贝叶斯模型_有关决策树模型的概述
  14. Microsoft Word 教程「4」,如何在 Word 中应用样式、主题?
  15. excel 替换 换行符_在Excel中查找和替换换行符
  16. spring boot参数校验 告别校验胶水代码
  17. 防火墙入侵与检测 day03 详解NAT及配置
  18. 代码已上传至googlecode
  19. 抖音直播带货变现,带货脚本文案怎么制作?丨国仁网络资讯
  20. 传感器--电阻应变片传感器

热门文章

  1. android textview动态居中,android 设置textview文字居中或者控件居中
  2. java 减法基础_java基础之运算符
  3. 安川机器人焊枪切换设定方法_【分享】焊接机器人的性能要求与系统构成
  4. SQL实战之查找薪水涨幅超过15次的员工号emp_no以及其对应的涨幅次数t
  5. 中国料斗秤行业市场供需与战略研究报告
  6. 阜阳师范学院计算机专业,2019阜阳师范学院专业排名
  7. vue前端框架面试问题汇总,附答案
  8. vue-router下的html5 history在iis服务器上的设置 vue去掉#
  9. RESTful API 特点
  10. dell服务器t330进入不了系统,Re: 戴尔T330服务器故障