这是一个创建于 3483 天前的主题,其中的信息可能已经有所发展或是发生改变。
Git 官方近日发布了一条重要的消息,所有版本的 Git 客户端在大小写不敏感的文件系统上均存在安全漏洞,包括 Windows 和 Mac 的客户端。
攻击者可以通过构造特殊 repo 内容覆盖 Git 的仓库级配置文件 .git/config。因为该漏洞只存在于客户端中,所以网站与企业版都不会受到直接的影响。
GitCafe 友情提醒,升级到 V2.2.1 等紧急维护版本即可以解决这个问题。
漏洞!大小写惹的祸?
这个漏洞源于对大小写不敏感或者不区分大小写的文件系统。比如攻击者可以建立一个恶意的 Git 树使 git/config 被覆盖,从而修改 Git 仓库中的代码。
OS X (HFS+) 或任何 Windows (NTFS, FAT) 版本的 Git 客户端上都存在这一问题。对于 Linux 客户端,如果它的文件系统对字母大小写敏感,那么它就不受此漏洞的影响。
不过,GitCafe 必须提醒大家的一点是,即使这个漏洞不会太影响到 Linux 的用户,如果你提供的是托管的服务,而你的用户可能会获取你的服务到 Windows 或者 Mac OS X 机器上,我们强烈地建议你更新以保护还在使用现有 Git 版本的用户。
所以请使用 Git 的用户和企业尽快更新客户端。同时如果用户访问代码副本托管在不安全或者不受信任主机上的 Git 库时,一定要格外小心。
Git 官方称,当下托管在网站上的库中是不可能包含恶意程序的,因为在托管时其已经进行了严格的检查。
Git 官方还建议所有 Git 用户都应该立即更新他们的 Git 应用程序,不仅限于 Windows 和 Mac 用户,网页版用户也同样需要。
升级到 V 2.2.1
升级到 V2.2.1 等紧急维护版本可以解决。
V2.2.0 以后的更改如下:
Hartmut Henkel (1):
l10n:de.po: 修复拼写错误
Jeff King (8):
unpack-trees: 将错误条目添加到索引
read-tree: 为混乱的路径 . 和 git 添加测试
verify_dotfile(): 阻止 .git 不区分大小写
t1450: 重构 .、. .、.git fsck 测试
fsck: 注意到 .git 不区分大小写
use utf8: 添加 is_hfs_dotgit() 的帮助
读缓存: 选择不允许 HFS +.git 变体
fsck: 抱怨位于树中的 HFS +.git 别名
Johannes Schindelin (3):
路径: 添加 is_ntfs_dotgit() 的帮助
读缓存: 选择不允许 NTFS.git 变体
fsck: 抱怨位于树中的 NTFS .git 别名
以下 Git 版本中不包含该漏洞:
V1.8.5.6
V1.9.5(专门针对 Windows 用户)
V2.0.5
V2.1.4
V2.2.1
PS:以上皆是转载,具体是不是这个问题不知道,反正我这种屌丝也没能力影响公司的git版本,只能自己升级下就算了。
10 条回复 • 2014-12-22 22:57:32 +08:00
|
|
1
xjoker 2014-12-22 16:09:55 +08:00
怪不得我上次clone了一个代码怎么弹出来计算器
|
|
|
2
luoyou1014 2014-12-22 16:16:33 +08:00
git 网页版用户?
|
|
|
3
typcn 2014-12-22 17:25:57 +08:00
用的 IDE 插件。。 感觉升级无力,不过项目人数屈指可数,应该没事
|
|
|
4
sanddudu 2014-12-22 17:34:35 +08:00 via iPhone
上周就有人发过这个漏洞了,github 也在上周发出了警告 是因为英文消息的关注度很低吗
|
|
|
5
ryd994 2014-12-22 17:35:38 +08:00 via Android
热烈祝贺楼主火星归来
|
|
|
7
urmyfaith 2014-12-22 20:30:01 +08:00
Terminal里的git也会收到影响么? = =
|
|
|
8
boom11235 2014-12-22 22:31:05 +08:00
已更新到2.2.1
|
|
|
9
327beckham 2014-12-22 22:36:46 +08:00
有个小疑问,OS X是大小写敏感的吧?
|
|
|
10
faceair 2014-12-22 22:57:32 +08:00
|