此一编 为CVE-2018-17456的全安漏洞允许骇客在储存库中建立一个.gitmodules档案,内含一个以破折 为首的URL,当使用者以–recurse-submodules复制(Clone)该储存库时,Git会解析.gitmodules档案中的URL栏位,直接把它当作子程序中的引数,并把含有破折 的URL当作选项,即能执行于上层专案(superproject)中的任意脚本程序。
除了Git 2.19.1之外,Git专案也修补了2.14.5、2.15.3、2.16.5、2.17.2及2.18.1等旧版本的相关漏洞。此外,在2.17.2,2.18.1及2.19.1中亦提供一个fsck的检查功能,能够在取得或接受一个”上传”(Push)时检查这类的恶意储存库。
受影响的Git应用包括GitHub Desktop 1.4.1及之前的版本,使用者可更新至1.4.2或1.4.3测试版,Atom用户则可升级到1.31.2及1.32.0测试版。应该要更新的还有命令列版本的Git用户,以及任何嵌入Git的应用程式。
Git专案指出,不论是GitHub.com或GitHub Enterprise都未直接受到此一漏洞的影响,其中,GitHub.com已能侦测并防止这类的恶意储存库,预计于10月9日出炉的GitHub Enterprise也将具备相关的侦测能力。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!