Git发布新版本 修补五处安全漏洞 包含严重远程代码执行风险

描述

  据报道,自5月31日之后,Git分布式版本控制系统已应用最新版,并迅速修补了五个安全漏洞,其中 CVE-2024-32002号漏洞具有最高级别的安全风险,它可用于“clone”行动中的代码远程执行。Git源程序于2005年由林纳斯·托瓦兹研发,初期为满足Linux内核开发需求而设计。

  CVE-2024-32002漏洞的严重性在于,黑客可通过创建特定的Git仓库子模块,诱骗Git将文件写入.git/目录,而非子模块的工作树。如此一来,攻击者便能在克隆过程中植入恶意脚本,用户几乎无法察觉。

  这主要源于Git文件系统对符号链接(symlinks)的支持以及大小写不敏感,使得递归克隆易受大小写混淆影响,从而让未经过身份验证的远程攻击者得以利用该漏洞,在受害者克隆操作期间执行刚克隆的代码,引发远程代码执行问题。

  官方安全公告建议,关闭Git中的符号链接支持(如通过git config --global core.symlinks false)可有效防止此类攻击。

  上述漏洞已在Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2及v2.39.4等多个版本中得到修复。若用户正使用受影响的版本,应立即升级至:

  Git 2.45.0

  Git 2.44.0

  Git 2.43.* 《 2.43.4

  Git 2.42.* 《 2.42.2

  Git 2.41.0

  Git 2.40.* 《 2.40.2

  Git 《 2.39.4

  仅限于Windows和Mac系统。

打开APP阅读更多精彩内容
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉

全部0条评论

快来发表一下你的评论吧 !

×
20
完善资料,
赚取积分