据报道,自5月31日之后,Git分布式版本控制系统已应用最新版,并迅速修补了五个安全漏洞,其中 CVE-2024-32002号漏洞具有最高级别的安全风险,它可用于“clone”行动中的代码远程执行。Git源程序于2005年由林纳斯·托瓦兹研发,初期为满足Linux内核开发需求而设计。
CVE-2024-32002漏洞的严重性在于,黑客可通过创建特定的Git仓库子模块,诱骗Git将文件写入.git/目录,而非子模块的工作树。如此一来,攻击者便能在克隆过程中植入恶意脚本,用户几乎无法察觉。
这主要源于Git文件系统对符号链接(symlinks)的支持以及大小写不敏感,使得递归克隆易受大小写混淆影响,从而让未经过身份验证的远程攻击者得以利用该漏洞,在受害者克隆操作期间执行刚克隆的代码,引发远程代码执行问题。
官方安全公告建议,关闭Git中的符号链接支持(如通过git config --global core.symlinks false)可有效防止此类攻击。
上述漏洞已在Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2及v2.39.4等多个版本中得到修复。若用户正使用受影响的版本,应立即升级至:
Git 2.45.0
Git 2.44.0
Git 2.43.* 《 2.43.4
Git 2.42.* 《 2.42.2
Git 2.41.0
Git 2.40.* 《 2.40.2
Git 《 2.39.4
仅限于Windows和Mac系统。
全部0条评论
快来发表一下你的评论吧 !