Git中的远程执行漏洞是什么-创新互联

今天就跟大家聊聊有关Git中的远程执行漏洞是什么，可能很多人都不太了解，为了让大家更加了解，小编给大家总结了以下内容，希望大家根据这篇文章可以有所收获。

成都创新互联公司长期为近千家客户提供的网站建设服务，团队从业经验10年，关注不同地域、不同群体，并针对不同对象提供差异化的产品和服务；打造开放共赢平台，与合作伙伴共同营造健康的互联网生态环境。为临渭区企业提供专业的网站制作、成都做网站，临渭区网站改版等技术服务。拥有十年丰富建站经验和众多成功案例,为您定制开发。

据外媒 BleepingComputer 报道，Git 项目组于前两天公布了一个在 Git 命令行客户端、Git Desktop 和 Atom 中发现的任意代码执行漏洞，这是一个比较严重的安全漏洞，可能会使得恶意仓库在易受攻击的计算机上远程执行命令。

据外媒 报道，Git 项目组于前两天公布了一个在 Git 命令行客户端、Git Desktop 和 Atom 中发现的任意代码执行漏洞，这是一个比较严重的安全漏洞，可能会使得恶意仓库在易受攻击的计算机上远程执行命令。

这个漏洞已被分配 CVE-2018-17456 这个唯一 ID，与之前的 CVE-2017-1000117 可选注入漏洞相似 —— 恶意仓库可以新建一个 .gitmodules 文件，其中包含以破折号开头的 URL。

通过破折号，当 Git 使用 --recurse-submodules 参数来克隆仓库时，该命令会将 URL 翻译为一个选项，然后可以使用该选项在计算机上进行远程代码执行。

当运行 "git clone --recurse-submodules" 时，Git 会解析 .gitmodules 文件中的 URL 字段，然后将其作为参数传递给 "git clone" 子进程。如果 URL 字段是一个字符串，并使用短划线开头，这个 "git clone" 子进程将会把 URL 翻译为一个选项。这可能导致用户运行 "git clone" 时，会执行 superproject 中的任意脚本。

下面通过一个例子进行说明，下面的漏洞使用了恶意的 .gitmodules 文件（注意 URL 如何以破折号开头），以使得 Git 认为这是一个选项。然后 "touch VULNERABLE/git@github.com:/timwr/test.git" 这条命令将会被执行。

此漏洞已在 Git v2.19.1 (with backports in v2.14.5, v2.15.3, v2.16.5, v2.17.2, and v2.18.1)， GitHub Desktop 1.4.2, Github Desktop 1.4.3-beta0, Atom 1.31.2 和 Atom 1.32.0-beta3 中得到修复。

Git 项目组强烈建议所有用户升级到最新版本的 Git client, Github Desktop 或 Atom，以免遭受恶意仓库的攻击。

看完上述内容，你们对Git中的远程执行漏洞是什么有进一步的了解吗？如果还想了解更多知识或者相关内容，请关注创新互联-成都网站建设公司行业资讯频道，感谢大家的支持。

分享文章：Git中的远程执行漏洞是什么-创新互联
转载注明：http://kswsj.com/article/dcosoo.html