Git客户端中爆出高危漏洞

admin 10年前

Git官方近日发布一条重要消息,所有官方版本的Git客户端都存在高危漏洞,包括GitHub Windows 和Mac客户端。因为该漏洞只存在于客户端应用程序中,所以github.com和GitHub企业版不会受到直接的影响。

模糊化大小写惹得祸

攻击者会利用客户端上的这一漏洞还可以访问对大小写不敏感或者不区分大小写的文件系统。在大小写不敏感的文件系统上运行Git客户端时,攻击者会用git/config覆盖Git/config,从而导致任意命令执行。 OS X(HFS+)或者任何Windows(NTFS,FAT)版本的GitHub客户端上都存在这一漏洞,也就说都存在被攻击者攻击的危险。对于Linux 客户端,如果它的文件系统对大小写很敏感,那么它就不会受这一漏洞的影响,但是如果Linux主机服务器上有Windows和OS X使用者,那它还是有可能被攻击者攻击。

Git强烈建议GitHub用户和GItHub企业尽快更新GitHub客户端;如果访问或者复制托管在不安全或者不受信任主机上的Git库时,一定要格外的小心。

当下托管在github.com上的库中是不可能包含恶意程序的,因为在托管时我们进行了严格的检查以排除这种类型的恶意软件。在攻击者没有发现可用来攻击的信息之前,GitHub公司已经对所有github.com网站上的内容进行了自动化的扫描,以排除可被攻击者利用的信息。

官方建议

所有版本的GitHub用户都应该赶紧更新他们的GitHub应用程序,不仅限于Windows和Mac用户,网页版用户也应该抓紧时间更新应用程序。

以下GitHub版本中不包含该漏洞:

V1.8.5.6  V1.9.5(专门针对Windows用户)  V2.0.5  V2.1.4  V2.2.1

[参考来源 github.com ,转载请注明来自Freebuf.COM]