Git專案(Git Project)於上周釋出Git 2.19.1,以修補一個可能導致遠端程式攻擊的重大漏洞,且該漏洞影響GitHub桌面版、文字編輯器Atom、命令列版本的Git,以及其它任何嵌入Git的應用。GitHub也緊急修補了這個漏洞。這個漏洞由一位長期漏洞通報者joernchen向GitHub漏洞獎勵機制提出通報,因此而獲得1萬點的獎勵。

此一編號為CVE-2018-17456的全安漏洞允許駭客在儲存庫中建立一個.gitmodules檔案,內含一個以破折號為首的URL,當使用者以--recurse-submodules複製(Clone)該儲存庫時,Git會解析.gitmodules檔案中的URL欄位,直接把它當作子程序中的引數,並把含有破折號的URL當作選項,即能執行於上層專案(superproject)中的任意腳本程式。

除了Git 2.19.1之外,Git專案也修補了2.14.5、2.15.3、2.16.5、2.17.2及2.18.1等舊版本的相關漏洞。此外,在2.17.2, 2.18.1及2.19.1中亦提供一個fsck的檢查功能,能夠在取得或接受一個「上傳」(Push)時檢查這類的惡意儲存庫。

受影響的Git應用包括GitHub Desktop 1.4.1及之前的版本,使用者可更新至1.4.2或1.4.3測試版,Atom用戶則可升級到1.31.2及1.32.0測試版。應該要更新的還有命令列版本的Git用戶,以及任何嵌入Git的應用程式。

Git專案指出,不論是GitHub.com或GitHub Enterprise都未直接受到此一漏洞的影響,其中,GitHub.com已能偵測並防止這類的惡意儲存庫,預計於10月9日出爐的GitHub Enterprise也將具備相關的偵測能力。


Advertisement

更多 iThome相關內容