Git 爆任意代码执行漏洞，所有使用者都受影响

Git 由于在处理子模块代码库的设置档案存在漏洞，导致开发者可能遭受任代码执行攻击，多数代码托管服务皆已设置拒绝有问题的代码储存库，但建议使用者尽快更新，避免不必要的风险。

创新互联建站的客户来自各行各业，为了共同目标，我们在工作上密切配合，从创业型小企业到企事业单位，感谢他们对我们的要求，感谢他们从不同领域给我们带来的挑战，让我们激情的团队有机会用头脑与智慧不断的给客户带来惊喜。专业领域包括成都做网站、成都网站设计、电商网站开发、微信营销、系统平台开发。

Microsoft Visual Studio 团队服务项目经理 Edward Thomson May 在 DevOps 博客中提到，Git 社区最近发现 Git 存在一个漏洞，允许黑客执行任意代码。 他敦促开发人员尽快更新客户端应用程序。 微软还采取了进一步措施，防止恶意代码库被推入微软的 VSTS（Visual Studio Team Services）。

此代码是 CVE 2018-11235 中的一个安全漏洞。 当用户在恶意代码库中操作时，他们可能会受到任意代码执行攻击。 远程代码存储库包含子模块定义和数据，它们作为文件夹捆绑在一起并提交给父代码存储库。 当这个代码仓库被来回复制时，Git 最初会将父仓库放到工作目录中，然后准备复制子模块。

但是，Git 稍后会发现它不需要复制子模块，因为子模块之前已经提交给父存储库，它也被写入工作目录，这个子模块已经存在于磁盘上。 因此，Git 可以跳过抓取文件的步骤，并直接在磁盘上的工作目录中使用子模块。

但是，并非所有文件都可以被复制。 当客户端复制代码库时，无法从服务器获取重要的配置。 这包括 .git 或配置文件的内容。 另外，在 Git 工作流中的特定位置执行的钩子（如Git）将在将文件写入工作目录时执行 Post-checkout 钩子。

不应该从远程服务器复制配置文件的一个重要原因就是，远程服务器可能提供由 Git 执行的恶意代码。

CVE 2018-11235 的漏洞正是犯了这个错误，所以 Git 有子模块来设置漏洞。 子模块存储库提交给父存储库，并且从未实际复制过。 子模块存储库中可能存在已配置的挂钩。 当用户再次出现时，恶意的父库会被精心设计。 将写入工作目录，然后 Git 读取子模块，将这些子模块写入工作目录，最后一步执行子模块存储库中的任何 Post-checkout 挂钩。

为了解决这个问题，Git 客户端现在将更仔细地检查子文件夹文件夹名称。 包含现在非法的名称，并且它们不能是符号链接，因此这些文件实际上必须存在于 .git 中，而不能位于工作目录中。

Edward ThomsonMay 提到，Git，VSTS 和大多数其他代码托管服务现在拒绝使用这些子模块配置的存储库来保护尚未更新的 Git 客户端。 Git 2.17.1 和 Windows 的 2.17.1 客户端软件版本已经发布，微软希望开发人员尽快更新。

网站名称：Git 爆任意代码执行漏洞，所有使用者都受影响
文章起源：http://www.shufengxianlan.com/qtweb/news26/86426.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联