首页 > 科普 > 科学/技术

分布式开源社区Git爆安全漏洞 华为云提醒开发者更新客户端

发布时间:2018-06-07 10:37:44 来源:中国通信网 责任编辑:三Q

开源的分布式版本控制系统Git社区近期发现了一个编号为CVE 2018-11235的安全漏洞。由于Git在处理子模块代码库的设置档案存在漏洞,导致开发者可能遭受任代码执行攻击。

图:Git社区

目前Git 2.17.1和Windows的2.17.1客户端软件版本已经发布,华为云DevCloud建议所有开发者请尽快升级到这一版本或更高版本,DevCloud已经在第一时间更新并修复了这一漏洞,还采取了进一步安全措施,防止恶意代码库被推入到华为云。

CVE 2018-11235安全漏洞是当用户在恶意代码库中操作时,可能会受到任意代码执行攻击。远程代码存储库包含子模块定义和数据,它们作为文件夹捆绑在一起并提交给父代码存储库。

当这个代码仓库被来回复制时,Git最初会将父仓库放到工作目录中,然后准备复制子模块。但是Git稍后会发现它不需要复制子模块,因为子模块之前已经提交给父存储库,它也被写入工作目录,这个子模块已经存在于磁盘上。

因此Git可以跳过抓取文件的步骤,并直接在磁盘上的工作目录中使用子模块。但是并非所有文件都可以被复制,当客户端复制代码库时,无法从服务器获取重要的配置,这包括.git 或配置文件的内容。另外,在Git工作流中的特定位置执行的钩子(如Git)将在将文件写入工作目录时执行Post-checkout钩子。不应该从远程服务器复制配置文件的一个重要原因就是,远程服务器可能提供由Git 执行的恶意代码。

CVE 2018-11235的漏洞正是犯了这个错误,所以Git有子模块来设置漏洞。子模块存储库提交给父存储库,并且从未实际复制过。子模块存储库中可能存在已配置的挂钩,当用户再次出现时,恶意的父库会被精心设计。将写入工作目录,然后Git读取子模块,将这些子模块写入工作目录,最后一步执行子模块存储库中的任何Post-checkout挂钩。

为了解决这个问题,Git客户端现在将更仔细地检查子文件夹文件夹名称。包含现在非法的名称,并且它们不能是符号链接,因此这些文件实际上必须存在于.git 中,而不能位于工作目录中。

责任编辑: 三Q

相关阅读

今日头条发文控诉腾讯 这是要撕破脸的节奏?,今日头条与腾讯之间的战火还在熊熊燃烧。6月4日,今日头条发布题为《腾讯公司不正当竞争行为的事实与说明[详细]

2018-06-07 10:37:44

分布式开源社区Git爆安全漏洞 华为云提醒开发者更新客户端,开源的分布式版本控制系统Git社区近期发现了一个编号为CVE 2018-11235的安全漏洞。由于G[详细]

2018-06-07 10:37:44

汇顶科技心率检测芯片规模商用 正式进入智能可穿戴市场,由中国集成电路设计领军企业汇顶科技自主研发并具有知识产权的心率检测芯片今日正式商用于华为荣耀心晴耳[详细]

2018-06-07 10:37:43

2.9亿元收购东芝个人电脑业务 夏普这是要卷土重来?,近日,夏普集团表示,公司董事会将于周二召开会议,讨论收购东芝集团的个人电脑业务的可能性。莫非夏普这是[详细]

2018-06-07 10:37:43

高通前CEO正创办一家5G公司 计划收购高通,前高通公司首席执行官保罗雅各布(Paul Jacobs)正在创办一家专注于5G无线通信技术的公司。该[详细]

2018-06-07 10:37:42

“吓人的技术”揭开面纱:GPU Turbo,前段时间网络上流传很火的华为很吓人的技术,花粉们有猜出来吗?小编怀揣着这个秘密,如今终于可以公开,它[详细]

2018-06-07 10:37:42

头条信息
精彩推荐
阅读排行
来源:国际在线国际在线专稿:5月21日5时28分,中
新浪科技讯北京时间5月25日消息,据国外媒体
探索发现中国乃至世界十大未解之谜,悬棺、水
今年6月,上海合作组织成员国领导人将聚首青
探索发现中国乃至世界十大未解之谜,悬棺、水

滚动资讯

关于我们 | 法律声明 | 免责声明 | 广告服务 | 本站地图 | 对外服务:访谈 直播 广告 展会 无线

版权所有 科学之星 电子邮件: news@science-star.cn 京ICP证 07017567号