新版本的 Git 已发布,修复了五个漏洞,其中最关键的漏洞 (CVE-2024-32002) 可被攻击者用来在“克隆”操作期间远程执行代码。
关于 Git
Git是一种广泛流行的用于协作软件开发的分布式版本控制系统。它可以安装在运行 Windows、macOS、Linux 和各种 *BSD 发行版的计算机上。
基于 Web 的软件开发平台 GitHub 和 GitLab 都是基于 Git 的。Visual Studio是微软的集成开发环境,直接内置了Git工具(MinGit),其他IDE都依赖它。
CVE-2024-32002 等已修复漏洞
CVE-2024-32002是一个严重漏洞,允许带有子模块的特制 Git 存储库欺骗 Git 将文件写入.git/目录而不是子模块的工作树。
“这可以通过将 Git 与目录和仅大小写不同的符号链接相结合来实现,这样 Git 可以编写其中之一,或另一个,但不能同时编写两者。这种混淆可以用来操纵 Git 编写一个钩子,该钩子将在克隆操作仍在运行时执行,从而使用户没有机会检查正在执行的代码,”Git for Windows 维护者 Johannes Schindelin解释道。
CVE-2024-32004还允许远程执行代码,但仅限于多用户计算机:“攻击者可以准备本地存储库,使其看起来像是缺少对象的部分克隆,这样,当克隆此存储库时, Git 将在操作过程中以执行克隆的用户的完全权限执行任意代码。”
CVE-2024-32465可能允许攻击者绕过克隆不受信任存储库的保护,CVE-2024-32020可能允许不受信任的用户修改克隆(本地)存储库中的对象,而CVE-2024-32021可能用于操纵 Git 进行写入Git 工作树之外和.git/目录之外的文件。
修复和安全更改
这些漏洞已在 Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2 和 v2.39.4 中修复。
他还表示,为了使克隆过程更加安全,Git 进行了更多更改:改进了防止远程代码执行的功能、更好地处理符号链接和目录、更安全地运行钩子(脚本)方式等等。
“升级到最新的 Git 版本对于防范这些漏洞至关重要。如果您无法立即更新,请在克隆存储库时小心,”Schindelin 建议。
Git 的修复版本已嵌入到最新的 GitHub Desktop 版本(适用于 Windows 和 macOS)中。CVE- 2024-32002和 CVE-2024-32004 的修复(1、2 )已在 Visual Studio 中实现。
文章来源:https://www.helpnetsecurity.com/2024/05/16/git-cve-2024-32002/
来
领
资
料
**【免费领】**网络安全专业入门与进阶学习资料,轻松掌握网络安全技能!