安全研究员Etienne Stalmans报告了该漏洞,未打补丁的Git版本不验证子模块名称,因此
在克隆代码仓库时,远程仓库可以返回特定的数据来创建或覆盖目标用户系统上的文件,从而可以在目标用户系统上执行任意代码。
具体来说,Git会镜像$GIT_DIR/modules目录中的子模块,这些子模块的名字是在$GIT_DIR/.gitmodules中定义的。通过修改.gitmodules文件的内容,可以将../嵌入到子模块名称中,以欺骗Git将子模块写到仓库以外的地方。再加上一个恶意的post-checkout钩子,这就有可能在克隆仓库后立即运行恶意代码。
要修复这个问题,需要给子模块名称增加一些规则,不符合规则的名称将被Git忽略。基本上,..和符号链接是不被允许的。这样可以确保子模块目录不会被保存到$GIT_DIR之外。
Stalmans表示,他可以利用此漏洞在GitHub页面上执行远程代码,不过到目前为止没有出现漏洞被利用的情况。
第二个已修补的漏洞与使用NTFS文件系统的仓库有关,攻击者通过欺骗NTFS路径健全性检查来读取随机内存中的内容。
Git社区已经及时在Git 2.13.7版本中修复了这两个漏洞,修复补丁也已移植到2.14.4、2.15.2、2.16.4和2.17.1中。此外,作为附加安全级别,如果代码仓库包含有问题.gitmodules文件,这些版本将拒绝接受来自用户的推送内容。这是为了:
帮助托管网站保护使用老版客户端的用户,防止恶意内容传播。
GitHub和其他托管服务已经修补了他们的系统。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
