新闻资讯
News and information
预警!Git爆漏洞 华为云提醒开发者更新客户端

近期,Git社区发现了一个编号为CVE 2018-11235的安全漏洞。由于Git在处理子模块代码库的设置档案存在漏洞,导致开发者可能遭受任代码执行攻击。目前Git 2.17.1和Windows的2.17.1客户端软件版本已经发布,华为云DevCloud建议所有开发者请尽快升级到这一版本或更高版本,DevCloud已经在第一时间更新并修复了这一漏洞,还采取了进一步安全措施,防止恶意代码库被推入到华为云。

CVE 2018-11235安全漏洞是当用户在恶意代码库中操作时,可能会受到任意代码执行攻击。远程代码存储库包含子模块定义和数据,它们作为文件夹捆绑在一起并提交给父代码存储库。当这个代码仓库被来回复制时,Git最初会将父仓库放到工作目录中,然后准备复制子模块。但是Git稍后会发现它不需要复制子模块,因为子模块之前已经提交给父存储库,它也被写入工作目录,这个子模块已经存在于磁盘上。因此Git可以跳过抓取文件的步骤,并直接在磁盘上的工作目录中使用子模块。但是并非所有文件都可以被复制,当客户端复制代码库时,无法从服务器获取重要的配置,这包括 .git 或配置文件的内容。另外,在Git工作流中的特定位置执行的钩子(如Git)将在将文件写入工作目录时执行Post-checkout钩子。不应该从远程服务器复制配置文件的一个重要原因就是,远程服务器可能提供由 Git 执行的恶意代码。