1漏洞概述
近日,Git官方揭露了漏洞CVE-2018-17456,当用户clone恶意库时,可能造成任意命令执行,攻击者可结合钓鱼等社会工程手段,来实现对目标主机的控制。官方建议所有用户将客户端升级以实现对此漏洞的防护。
此漏洞与CVE-2017-1000117非常类似,都是与子模块相关的命令选项注入攻击。此漏洞允许.gitModule文件中的url参数以破折号“—”开头,在执行“git clone”操作时,进程将此url解析为选项,从而导致任意命令执行。
2漏洞影响范围
受影响的版本:
Git 2.14.*< 2.14.5
Git 2.15.*< 2.15.3
Git 2.16.*< 2.16.5
Git 2.17.*< 2.17.2
Git 2.18.*< 2.18.1
不受影响的版本:
Git 2.19.1
Git 2.18.1
Git 2.17.2
Git 2.16.5
Git 2.15.3
Git 2.14.5
3漏洞影响排查
用户可使用如下命令查看所使用的Git版本,并参考本文第二章“影响范围”来判断是否在受影响范围内。
git --version
4漏洞防护
Git官方已经发布了新版本修复了上述漏洞,请受影响的用户尽快下载更新进行防护,在升级完成之前,用户应尽量避免clone不受信任的库来保护自身系统安全。
升级下载链接如下:
Windows:https://git-scm.com/download/win
Mac OS X:https://git-scm.com/download/mac
Linux:https://git-scm.com/download/linux
以Window为例,可使用上述地址直接下载最新版本,进行覆盖安装,完成更新。或直接使用以下命令进行版本更新。
git update-git-for-windows
由于GitHub Desktop和Atom内嵌了旧版本Gitlab,因此也受到该漏洞影响,官方已经发布了新版本修复该漏洞,请受影响用户及时进行进行升级。有问题及时关注西部数码发布的最新通告。
发表评论