请各位开发者尽快升级Git客户端版本至 V2.2.1!
Git 官方近日发布了一条重要的消息,所有版本的 Git 客户端在大小写不敏感的文件系统上均存在安全漏洞,包括 Windows 和 Mac 的客户端。
攻击者可以通过构造特殊 repo 内容覆盖 Git 的仓库级配置文件 .git/config。因为该漏洞只存在于客户端中,所以网站与企业版都不会受到直接的影响。
GitCafe 友情提醒,升级到 V2.2.1 等紧急维护版本即可以解决这个问题。
漏洞!大小写惹的祸?
这个漏洞源于对大小写不敏感或者不区分大小写的文件系统。比如攻击者可以建立一个恶意的 Git 树使 git/config 被覆盖,从而修改 Git 仓库中的代码。
OS X (HFS+) 或任何 Windows (NTFS, FAT) 版本的 Git 客户端上都存在这一问题。对于 Linux 客户端,如果它的文件系统对字母大小写敏感,那么它就不受此漏洞的影响。
不过,GitCafe 必须提醒大家的一点是,即使这个漏洞不会太影响到 Linux 的用户,如果你提供的是托管的服务,而你的用户可能会获取你的服务到 Windows 或者 Mac OS X 机器上,我们强烈地建议你更新以保护还在使用现有 Git 版本的用户。
所以请使用 Git 的用户和企业尽快更新客户端。同时如果用户访问代码副本托管在不安全或者不受信任主机上的 Git 库时,一定要格外小心。
Git 官方称,当下托管在网站上的库中是不可能包含恶意程序的,因为在托管时其已经进行了严格的检查。
Git 官方还建议所有 Git 用户都应该立即更新他们的 Git 应用程序,不仅限于 Windows 和 Mac 用户,网页版用户也同样需要。
升级到 V 2.2.1
升级到 V2.2.1 等紧急维护版本可以解决。
V2.2.0 以后的更改如下:
- Hartmut Henkel (1):
- l10n:de.po: 修复拼写错误
- Jeff King (8):
- unpack-trees: 将错误条目添加到索引
- read-tree: 为混乱的路径 . 和 git 添加测试
- verify_dotfile (): 阻止 .git 不区分大小写
- t1450: 重构 .、. .、.git fsck 测试
- fsck: 注意到 .git 不区分大小写
- use utf8: 添加 is_hfs_dotgit () 的帮助
- 读缓存: 选择不允许 HFS +.git 变体
- fsck: 抱怨位于树中的 HFS +.git 别名
- Johannes Schindelin (3):
- 路径: 添加 is_ntfs_dotgit () 的帮助
- 读缓存: 选择不允许 NTFS.git 变体
- fsck: 抱怨位于树中的 NTFS .git 别名
以下 Git 版本中不包含该漏洞:
- V1.8.5.6
- V1.9.5(专门针对 Windows 用户)
- V2.0.5
- V2.1.4
- V2.2.1
希望各位开发者尽快升级客户端到稳定的版本。