分布式版本控制軟件 Git 修復(fù) RCE 遠(yuǎn)程執(zhí)行漏洞，官方敦促盡快升級(jí)

IT之家 5 月 31 日消息，Git 分布式版本控制系統(tǒng)已經(jīng)發(fā)布新版本，緊急修復(fù)了 5 個(gè)安全漏洞，其中最“關(guān)鍵”的漏洞追蹤編號(hào)為 CVE-2024-32002，可以在“clone”操作中遠(yuǎn)程執(zhí)行代碼。

IT之家注：Git 是一個(gè)分布式版本控制軟件，最初由林納斯?托瓦茲創(chuàng)作，于 2005 年以 GPL 許可協(xié)議發(fā)布。最初目的是更好地管理 Linux 內(nèi)核開發(fā)而設(shè)計(jì)。

CVE-2024-32002 漏洞破壞力很大，黑客通過制作特殊的 Git 倉庫子模塊，可以欺騙 Git Git 將文件寫入 .git/ 目錄，而不是子模塊的工作樹。

這樣一來，攻擊者可以植入惡意的鉤子腳本，在克隆操作仍在進(jìn)行時(shí)即被執(zhí)行，用戶幾乎無法事先檢查即將執(zhí)行的代碼。

這主要是因?yàn)?Git 文件系統(tǒng)支持符號(hào)鏈接（symlinks）且不區(qū)分大小寫，在遞歸克隆容易受到大小寫混淆的影響，未經(jīng)身份認(rèn)證的遠(yuǎn)程攻擊者利用該漏洞使受害者克隆操作期間執(zhí)行剛剛克隆的代碼，從而導(dǎo)致遠(yuǎn)程代碼執(zhí)行。

官方安全公告指出，禁用 Git 中的符號(hào)鏈接支持（例如，通過 git config --global core.symlinks false）可以阻止此攻擊。

這些漏洞已在 Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2 和 v2.39.4 中得到修補(bǔ)，如果用戶當(dāng)前使用以下影響版本，請盡快升級(jí)：

• Git 2.45.0

• Git 2.44.0

• Git 2.43.* < 2.43.4

• Git 2.42.* < 2.42.2

• Git 2.41.0

• Git 2.40.* < 2.40.2

• Git < 2.39.4

• 只影響 Windows 和 Mac 系統(tǒng)

參考

• CVE-2024-32002: Exploiting Git RCE via git clone

• Critical Git vulnerability allows RCE when cloning repositories with submodules (CVE-2024-32002)

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。