<dl id="wqg5j"></dl>

    1. <menuitem id="wqg5j"></menuitem>

      <dl id="wqg5j"><font id="wqg5j"></font></dl>
    2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
    3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
      <li id="wqg5j"><ins id="wqg5j"></ins></li>
      安基網 首頁 資訊 IT業界 查看內容

      Git中的遠程代碼執行漏洞已被修復 多個工具受影響

      2018-10-8 10:12| 投稿: lofor |來自: 互聯網


      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

      摘要: 據外媒 BleepingComputer 報道,Git 項目組于前兩天公布了一個在 Git 命令行客戶端、Git Desktop 和 Atom 中發現的任意代碼執行漏洞,這是一個比較嚴重的安全漏洞,可能會使得惡意倉庫在易受攻擊的計算機上遠程執行 ...

      據外媒 BleepingComputer 報道,Git 項目組于前兩天公布了一個在 Git 命令行客戶端、Git Desktop 和 Atom 中發現的任意代碼執行漏洞,這是一個比較嚴重的安全漏洞,可能會使得惡意倉庫在易受攻擊的計算機上遠程執行命令。

      這個漏洞已被分配 CVE-2018-17456 這個唯一 ID,與之前的 CVE-2017-1000117 可選注入漏洞相似 —— 惡意倉庫可以新建一個 .gitmodules 文件,其中包含以破折號開頭的 URL

      通過破折號,當 Git 使用 --recurse-submodules 參數來克隆倉庫時,該命令會將 URL 翻譯為一個選項,然后可以使用該選項在計算機上進行遠程代碼執行。

      當運行 "git clone --recurse-submodules" 時,Git 會解析 .gitmodules 文件中的 URL 字段,然后將其作為參數傳遞給 "git clone" 子進程。如果 URL 字段是一個字符串,并使用短劃線開頭,這個 "git clone" 子進程將會把 URL 翻譯為一個選項。這可能導致用戶運行 "git clone" 時,會執行 superproject 中的任意腳本。

      下面通過一個例子進行說明,下面的漏洞使用了惡意的 .gitmodules 文件(注意 URL 如何以破折號開頭),以使得 Git 認為這是一個選項。然后 "touch VULNERABLE/[email protected]:/timwr/test.git" 這條命令將會被執行。

      [submodule "test"]	path = test	url = ssh://-oProxyCommand=touch VULNERABLE/[email protected]:/timwr/test.git

      此漏洞已在 Git v2.19.1 (with backports in v2.14.5, v2.15.3, v2.16.5, v2.17.2, and v2.18.1), GitHub Desktop 1.4.2, Github Desktop 1.4.3-beta0, Atom 1.31.2 和 Atom 1.32.0-beta3 中得到修復。

      Git 項目組強烈建議所有用戶升級到最新版本的 Git clientGithub Desktop 或 Atom,以免遭受惡意倉庫的攻擊。


      Tag標簽:

      小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

      本文出自:https://www.cnbeta.com/articles/tech/775041.htm

      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


      鮮花

      握手

      雷人

      路過

      雞蛋

      相關閱讀

      最新評論

       最新
      返回頂部
      玄机图
      <dl id="wqg5j"></dl>

        1. <menuitem id="wqg5j"></menuitem>

          <dl id="wqg5j"><font id="wqg5j"></font></dl>
        2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
        3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
          <li id="wqg5j"><ins id="wqg5j"></ins></li>
          <dl id="wqg5j"></dl>

            1. <menuitem id="wqg5j"></menuitem>

              <dl id="wqg5j"><font id="wqg5j"></font></dl>
            2. <dl id="wqg5j"><ins id="wqg5j"></ins></dl>
            3. <dl id="wqg5j"><ins id="wqg5j"><thead id="wqg5j"></thead></ins></dl>
              <li id="wqg5j"><ins id="wqg5j"></ins></li>