严重的 Git 漏洞允许在克隆带有子模块的存储库时进行 RCE (CVE-2024-32002)

阅读量92856

发布时间 : 2024-05-17 11:46:55

新版本的 Git 已发布,修复了五个漏洞,其中最关键的漏洞 (CVE-2024-32002) 可被攻击者用来在“克隆”操作期间远程执行代码。

关于 Git
Git是一种广泛流行的用于协作软件开发的分布式版本控制系统。它可以安装在运行 Windows、macOS、Linux 和各种 *BSD 发行版的计算机上。

基于 Web 的软件开发平台 GitHub 和 GitLab 都是基于 Git 的。Visual Studio是微软的集成开发环境,直接内置了Git工具(MinGit),其他IDE都依赖它。

CVE-2024-32002 等已修复漏洞
CVE-2024-32002是一个严重漏洞,允许带有子模块的特制 Git 存储库欺骗 Git 将文件写入.git/目录而不是子模块的工作树。

“这可以通过将 Git 与目录和仅大小写不同的符号链接相结合来实现,这样 Git 可以编写其中之一,或另一个,但不能同时编写两者。这种混淆可以用来操纵 Git 编写一个钩子,该钩子将在克隆操作仍在运行时执行,从而使用户没有机会检查正在执行的代码,”Git for Windows 维护者 Johannes Schindelin解释道。

CVE-2024-32004还允许远程执行代码,但仅限于多用户计算机:“攻击者可以准备本地存储库,使其看起来像是缺少对象的部分克隆,这样,当克隆此存储库时, Git 将在操作过程中以执行克隆的用户的完全权限执行任意代码。”

CVE-2024-32465可能允许攻击者绕过克隆不受信任存储库的保护,CVE-2024-32020可能允许不受信任的用户修改克隆(本地)存储库中的对象,而CVE-2024-32021可能用于操纵 Git 进行写入Git 工作树之外和.git/目录之外的文件。

修复和安全更改
这些漏洞已在 Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2 和 v2.39.4 中修复。

他还表示,为了使克隆过程更加安全,Git 进行了更多更改:改进了防止远程代码执行的功能、更好地处理符号链接和目录、更安全地运行钩子(脚本)方式等等。

“升级到最新的 Git 版本对于防范这些漏洞至关重要。如果您无法立即更新,请在克隆存储库时小心,”Schindelin 建议。

Git 的修复版本已嵌入到最新的 GitHub Desktop 版本(适用于 Windows 和 macOS)中。 CVE- 2024-32002和 CVE-2024-32004 的修复(1、2 )已在 Visual Studio 中实现。

本文转载自:

如若转载,请注明出处: https://www.helpnetsecurity.com/2024/05/16/git-cve-2024-32002/

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66