【每日安全资讯】Git 爆任意代码执行漏洞,所有使用者都受影响
https://mmbiz.qpic.cn/mmbiz_jpg/HhvWP6DFE8rc4xbmhcjTWTbnI9XvGZlIaOVPVltG0ia5Vk7f20E9miafLVWJ0Xwicib469Eiagg8Kqt0MTsmcibNmKEw/640?wx_fmt=jpegGit 由于在处理子模块代码库的设置档案存在漏洞,导致开发者可能遭受任代码执行攻击,多数代码托管服务皆已设置拒绝有问题的代码储存库,但建议使用者尽快更新,避免不必要的风险。Microsoft Visual Studio 团队服务项目经理 Edward Thomson May 在 DevOps 博客中提到,Git 社区最近发现 Git 存在一个漏洞,允许黑客执行任意代码。 他敦促开发人员尽快更新客户端应用程序。 微软还采取了进一步措施,防止恶意代码库被推入微软的 VSTS(Visual Studio Team Services)。https://mmbiz.qpic.cn/mmbiz_png/a76YFOnjeqPIM9d3jpmArRjIO4gk2nFS4PF9TQLZTkvdDSPavvlhoxn9zIDLbatW7u0M2uO6wwNtX91f2ofpdA/640?wx_fmt=png此代码是 CVE 2018-11235 中的一个安全漏洞。 当用户在恶意代码库中操作时,他们可能会受到任意代码执行攻击。 远程代码存储库包含子模块定义和数据,它们作为文件夹捆绑在一起并提交给父代码存储库。 当这个代码仓库被来回复制时,Git 最初会将父仓库放到工作目录中,然后准备复制子模块。但是,Git 稍后会发现它不需要复制子模块,因为子模块之前已经提交给父存储库,它也被写入工作目录,这个子模块已经存在于磁盘上。 因此,Git 可以跳过抓取文件的步骤,并直接在磁盘上的工作目录中使用子模块。但是,并非所有文件都可以被复制。 当客户端复制代码库时,无法从服务器获取重要的配置。 这包括 .git 或配置文件的内容。 另外,在 Git 工作流中的特定位置执行的钩子(如Git)将在将文件写入工作目录时执行 Post-checkout 钩子。不应该从远程服务器复制配置文件的一个重要原因就是,远程服务器可能提供由 Git 执行的恶意代码。CVE 2018-11235 的漏洞正是犯了这个错误,所以 Git 有子模块来设置漏洞。 子模块存储库提交给父存储库,并且从未实际复制过。 子模块存储库中可能存在已配置的挂钩。 当用户再次出现时,恶意的父库会被精心设计。 将写入工作目录,然后 Git 读取子模块,将这些子模块写入工作目录,最后一步执行子模块存储库中的任何 Post-checkout 挂钩。为了解决这个问题,Git 客户端现在将更仔细地检查子文件夹文件夹名称。 包含现在非法的名称,并且它们不能是符号链接,因此这些文件实际上必须存在于 .git 中,而不能位于工作目录中。Edward ThomsonMay 提到,Git,VSTS 和大多数其他代码托管服务现在拒绝使用这些子模块配置的存储库来保护尚未更新的 Git 客户端。 Git 2.17.1 和 Windows 的 2.17.1 客户端软件版本已经发布,微软希望开发人员尽快更新。* 来源:iThome品质决定高度|十年成就领航诺达网络技术有限公司(简称诺达网络),是教育+IT综合服务解决方案提供商。公司成立于2006年,先后在沈阳、长春、哈尔滨开设全资子公司。基于多年在教育与IT服务领域的经验沉淀,诺达以应用型人才培养为核心,建立了集“教育+、服务+、人才+、平台+”四大业务群为一体的服务平台,紧密围绕网络、信息安全、云计算、物联网、大数据等IT专业方向,扩散开展项目管理等课程,与思科、华为、红帽、甲骨文、神州光大等企业达成深度战略合作,打造校企协同培育人才链,为高等教育提供一站式教学解决方案;为企业提供高品质IT综合服务;为行业输送高素质应用型人才。https://mmbiz.qpic.cn/mmbiz_png/HhvWP6DFE8pVSwqwjAWzJNx0K00CPOp16iaHcSwbXqQumIxwicRKRwwe9JtqOUrrBw9sSjFerZUwdSsE9SkMhK1A/640?wx_fmt=png
https://mmbiz.qpic.cn/mmbiz_gif/HhvWP6DFE8r6BicmZttlFhica8Dic1Tia1MRU7E6xDr0F4qOljDg2zEDA45ulseBjW6M2TQib0556rjia0lY2icpS6ReQ/640?wx_fmt=gif诺达网络经大连教育局批准设立“诺达计算机培训学校” ,并与100多所优质院校开展不同层次的教学育人合作。公司累计服务于全国1000个跨地域项目,为10000多名在校生提供实习实践,累计为高校输出5000多名应用型人才。
https://mmbiz.qpic.cn/mmbiz_gif/HhvWP6DFE8r6BicmZttlFhica8Dic1Tia1MRU7E6xDr0F4qOljDg2zEDA45ulseBjW6M2TQib0556rjia0lY2icpS6ReQ/640?wx_fmt=gif诺达网络教育团队拥有思科、华为、甲骨文、红帽等厂商认证讲师35人;项目团队认证工程师超过100人。公司自成立以来,持续保持35%年复合增长,始终践行于中国教育产业的变革与发展。
https://mmbiz.qpic.cn/mmbiz_png/HhvWP6DFE8qRicrPKOlZspzmKeNlrVZIkjjHYz0WwZ2LoRwdbjiaHavuGUsSeATEOKkyZiadEn9ic20H1Kb4d7rNuQ/640?wx_fmt=png了解更多详情请咨询400-886 -1677热线https://mmbiz.qpic.cn/mmbiz/HhvWP6DFE8q3ILsZ2tCiaYNbicVhOsDBcByG3a9AAR4ppUveWv0TibxUOVoZj3GNON8S1GreDnBnXFSG2bku8KmjQ/640?wx_fmt=gifhttps://mmbiz.qlogo.cn/mmbiz_jpg/HhvWP6DFE8plA2bRWZibY7eoACvqBfnBhcAVWWEPicba8vYsteoibTCaVwSBgxcw6wsZpfO2EB1cwE7d1KmY6Wt0w/640?wx_fmt=jpeg长按二维码关注更多资讯
https://mmbiz.qlogo.cn/mmbiz_png/HhvWP6DFE8plA2bRWZibY7eoACvqBfnBhicIrYn3N8417lNAlgBPiaVFHr0pRrXIDWFqmfXJYRMzYPMMsKHpd5YdQ/640?wx_fmt=png品质决定高度|十年成就领航https://mmbiz.qlogo.cn/mmbiz_png/HhvWP6DFE8plA2bRWZibY7eoACvqBfnBhdQaPEUdJ4XrwqoFuz9cnAOppo37FXfQCEIlgwXibvpWwibKYo2f0Kbag/640?wx_fmt=pnghttps://mmbiz.qlogo.cn/mmbiz_png/HhvWP6DFE8plA2bRWZibY7eoACvqBfnBhxbJ4fk8d3Swiaw2sAU7ImIMoyUDrHOJmcsIYvcUTr89C0jBbC4MpBdg/640?wx_fmt=pnghttps://mmbiz.qpic.cn/mmbiz_gif/HhvWP6DFE8plA2bRWZibY7eoACvqBfnBhhal9y8z5CWKt2hEfYTb3jSewjsUFmyXGeg0wa69TNgoojjoYXIfTfA/640?wx_fmt=gifhttps://mmbiz.qpic.cn/mmbiz_jpg/HhvWP6DFE8oaKxMEQ6tl0m2UH6ibUIicHR3AWP5GtyVlKVEQ9729um3CibEpvGIKibcdL3AamxFEKzd5Mib97XD3qGA/640?wx_fmt=jpeg
页:
[1]