CVE-2018-17456安全漏洞

　　1漏洞概述

　　近日，Git官方揭露了漏洞CVE-2018-17456，当用户clone恶意库时，可能造成任意命令执行，攻击者可结合钓鱼等社会工程手段，来实现对目标主机的控制。官方建议所有用户将客户端升级以实现对此漏洞的防护。

　　此漏洞与CVE-2017-1000117非常类似，都是与子模块相关的命令选项注入攻击。此漏洞允许.gitModule文件中的url参数以破折号“—”开头，在执行“git clone”操作时，进程将此url解析为选项，从而导致任意命令执行。

　　2漏洞影响范围

　　受影响的版本：

　　Git 2.14.*< 2.14.5

　　Git 2.15.*< 2.15.3

　　Git 2.16.*< 2.16.5

　　Git 2.17.*< 2.17.2

　　Git 2.18.*< 2.18.1

　　不受影响的版本：

　　Git 2.19.1

　　Git 2.18.1

　　Git 2.17.2

　　Git 2.16.5

　　Git 2.15.3

　　Git 2.14.5

　　3漏洞影响排查

　　用户可使用如下命令查看所使用的Git版本，并参考本文第二章“影响范围”来判断是否在受影响范围内。

　　git --version

　　4漏洞防护

　　Git官方已经发布了新版本修复了上述漏洞，请受影响的用户尽快下载更新进行防护，在升级完成之前，用户应尽量避免clone不受信任的库来保护自身系统安全。

　　升级下载链接如下：

　　Windows：https://git-scm.com/download/win

　　Mac OS X：https://git-scm.com/download/mac

　　Linux：https://git-scm.com/download/linux

　　以Window为例，可使用上述地址直接下载最新版本，进行覆盖安装，完成更新。或直接使用以下命令进行版本更新。

　　git update-git-for-windows

　　由于GitHub Desktop和Atom内嵌了旧版本Gitlab，因此也受到该漏洞影响，官方已经发布了新版本修复该漏洞，请受影响用户及时进行进行升级。有问题及时关注西部数码发布的最新通告。