12 月 18 日,宣布了 git 和 mecurial 中的一个漏洞。
- 漏洞的详细信息是什么?
- 对我有影响吗?
- 我该怎么办?
12 月 18 日,宣布了 git 和 mecurial 中的一个漏洞。
漏洞的详细信息是什么?
Git 将存储库元数据存储在.git
子目录中。这包括允许自定义脚本在 git 工作流中的不同点运行的git 钩子。Git 通常不允许提交此子目录中的任何文件。
.Git
但是,像on这样的子目录可以提交到存储库中。出现此漏洞的原因是具有不区分大小写文件系统的操作系统(例如 Windows 或 OS X)会将两个子目录 (.Git
和.git
) 视为等效的,并将.git
覆盖.Git
. 这导致攻击者能够通过诱骗使用具有不区分大小写文件系统的操作系统的用户克隆恶意制作的存储库来执行任意代码。
对我有影响吗?
该漏洞仅适用于使用不区分大小写文件系统的用户。这包括大多数 Windows 和 OS X 用户。
从 GitHub 提取存储库是安全的,因为 GitHub 现在阻止存储库包含恶意利用。
我该怎么办?
与所有新漏洞一样,升级受影响的软件。这意味着升级到 git 的 v1.8.5.6、v1.9.5、v2.0.5、v2.1.4 和 v2.2.1 版本,具体取决于您使用的维护分支。