Git中的遠程執(zhí)行漏洞是什么-創(chuàng)新互聯(lián)

今天就跟大家聊聊有關(guān)Git中的遠程執(zhí)行漏洞是什么,可能很多人都不太了解,為了讓大家更加了解,小編給大家總結(jié)了以下內(nèi)容,希望大家根據(jù)這篇文章可以有所收獲。

成都創(chuàng)新互聯(lián)公司長期為近千家客戶提供的網(wǎng)站建設(shè)服務(wù),團隊從業(yè)經(jīng)驗10年,關(guān)注不同地域、不同群體,并針對不同對象提供差異化的產(chǎn)品和服務(wù);打造開放共贏平臺,與合作伙伴共同營造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為臨渭區(qū)企業(yè)提供專業(yè)的網(wǎng)站制作、成都做網(wǎng)站,臨渭區(qū)網(wǎng)站改版等技術(shù)服務(wù)。擁有十年豐富建站經(jīng)驗和眾多成功案例,為您定制開發(fā)。
據(jù)外媒 BleepingComputer 報道,Git 項目組于前兩天公布了一個在 Git 命令行客戶端、Git Desktop 和 Atom 中發(fā)現(xiàn)的任意代碼執(zhí)行漏洞,這是一個比較嚴重的安全漏洞,可能會使得惡意倉庫在易受攻擊的計算機上遠程執(zhí)行命令。
據(jù)外媒 報道,Git 項目組于前兩天公布了一個在 Git 命令行客戶端、Git Desktop 和 Atom 中發(fā)現(xiàn)的任意代碼執(zhí)行漏洞,這是一個比較嚴重的安全漏洞,可能會使得惡意倉庫在易受攻擊的計算機上遠程執(zhí)行命令。


這個漏洞已被分配 CVE-2018-17456 這個唯一 ID,與之前的 CVE-2017-1000117 可選注入漏洞相似 —— 惡意倉庫可以新建一個 .gitmodules 文件,其中包含以破折號開頭的 URL。

通過破折號,當(dāng) Git 使用 --recurse-submodules 參數(shù)來克隆倉庫時,該命令會將 URL 翻譯為一個選項,然后可以使用該選項在計算機上進行遠程代碼執(zhí)行。

當(dāng)運行 "git clone --recurse-submodules" 時,Git 會解析 .gitmodules 文件中的 URL 字段,然后將其作為參數(shù)傳遞給 "git clone" 子進程。如果 URL 字段是一個字符串,并使用短劃線開頭,這個 "git clone" 子進程將會把 URL 翻譯為一個選項。這可能導(dǎo)致用戶運行 "git clone" 時,會執(zhí)行 superproject 中的任意腳本。

下面通過一個例子進行說明,下面的漏洞使用了惡意的 .gitmodules 文件(注意 URL 如何以破折號開頭),以使得 Git 認為這是一個選項。然后 "touch VULNERABLE/git@github.com:/timwr/test.git" 這條命令將會被執(zhí)行。
Git中的遠程執(zhí)行漏洞是什么
此漏洞已在 Git v2.19.1 (with backports in v2.14.5, v2.15.3, v2.16.5, v2.17.2, and v2.18.1), GitHub Desktop 1.4.2, Github Desktop 1.4.3-beta0, Atom 1.31.2 和 Atom 1.32.0-beta3 中得到修復(fù)。

Git 項目組強烈建議所有用戶升級到最新版本的 Git client, Github Desktop 或 Atom,以免遭受惡意倉庫的攻擊。

看完上述內(nèi)容,你們對Git中的遠程執(zhí)行漏洞是什么有進一步的了解嗎?如果還想了解更多知識或者相關(guān)內(nèi)容,請關(guān)注創(chuàng)新互聯(lián)-成都網(wǎng)站建設(shè)公司行業(yè)資訊頻道,感謝大家的支持。

本文題目:Git中的遠程執(zhí)行漏洞是什么-創(chuàng)新互聯(lián)
新聞來源:http://muchs.cn/article0/dcosoo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供品牌網(wǎng)站設(shè)計軟件開發(fā)、云服務(wù)器App開發(fā)、網(wǎng)站改版響應(yīng)式網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站