BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

Git漏洞导致攻击者可在用户电脑上运行任意代码

| 作者 Sergio De Simone 关注 12 他的粉丝 ,译者 无明 关注 0 他的粉丝 发布于 2018年6月6日. 估计阅读时间: 2 分钟 | Google、Facebook、Pinterest、阿里、腾讯 等顶尖技术团队的上百个可供参考的架构实例!

看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料!

Git子模块名称验证中的一个缺陷使得远程攻击者可能在开发者机器上执行任意代码。另外,攻击者可以访问部分系统内存。这两个漏洞已经在Git 2.17.1、2.16.4、2.15.2和其他版本中得到了修复。

安全研究员Etienne Stalmans报告了该漏洞,未打补丁的Git版本不验证子模块名称,因此

在克隆代码仓库时,远程仓库可以返回特定的数据来创建或覆盖目标用户系统上的文件,从而可以在目标用户系统上执行任意代码。

具体来说,Git会镜像$GIT_DIR/modules目录中的子模块,这些子模块的名字是在$GIT_DIR/.gitmodules中定义的。通过修改.gitmodules文件的内容,可以将../嵌入到子模块名称中,以欺骗Git将子模块写到仓库以外的地方。再加上一个恶意的post-checkout钩子,这就有可能在克隆仓库后立即运行恶意代码。

要修复这个问题,需要给子模块名称增加一些规则,不符合规则的名称将被Git忽略。基本上,..和符号链接是不被允许的。这样可以确保子模块目录不会被保存到$GIT_DIR之外。

Stalmans表示,他可以利用此漏洞在GitHub页面上执行远程代码,不过到目前为止没有出现漏洞被利用的情况。

第二个已修补的漏洞与使用NTFS文件系统的仓库有关,攻击者通过欺骗NTFS路径健全性检查来读取随机内存中的内容。

Git社区已经及时在Git 2.13.7版本中修复了这两个漏洞,修复补丁也已移植到2.14.4、2.15.2、2.16.4和2.17.1中。此外,作为附加安全级别,如果代码仓库包含有问题.gitmodules文件,这些版本将拒绝接受来自用户的推送内容。这是为了:

帮助托管网站保护使用老版客户端的用户,防止恶意内容传播。

GitHub和其他托管服务已经修补了他们的系统。

查看英文原文Git Vulnerability May Lead to Arbitrary Code Execution

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT