社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Git

漏洞通告 | Git 远程代码执行漏洞

微步在线研究响应中心 • 1 月前 • 57 次点击  


漏洞概况


Git是一个免费的、开源的分布式版本控制系统,旨在高效、高速地处理从小到大的所有项目。它被广泛应用于软件开发领域,帮助开发者追踪代码更改、协同开发、回滚错误以及管理代码历史。 

近日,微步漏洞团队获取到Git远程代码执行漏洞(CVE-2024-32002)情报,该漏洞由于在不区分大小写的文件系统(例如Windows 和 macOS 上的默认文件系统)上Git会将某些路径视为同一路径。具备子模块的仓库可以利用这个缺陷,欺骗Git不将文件写入子模块的目录,而是写入 “.git” 目录,进而在 clone 存储库时("git clone --recursive git@xxx.com" )执行 Hook。

经分析和研判,该漏洞利用复杂度较高,且只影响Windows和Mac系统,但该漏洞可被用于投毒和钓鱼,建议根据自身情况进行修复。


漏洞处置优先级(VPT)


综合处置优先级:

基本信息

微步编号

XVE-2024-10966
漏洞类型

远程代码执行

利用条件评估

利用漏洞的网络条件

远程

是否需要绕过安全机制

不需要

对被攻击系统的要求

默认配置

利用漏洞的权限要求

无需任何权限

是否需要受害者配合

需要

利用情报

POC是否公开


微步已捕获攻击行为


漏洞影响范围



产品名称

Git-Git

受影响版本

version = v2.45.0

version = v2.44.0

version = v2.41.0 

version ≤ v2.43.3 

version  v2.42.1

version  v2.40.1 

version  v2.39.3

注意:只影响Windows和Mac系统的上述版本

影响范围

万级

有无修复补丁



漏洞复现



修复方案


官方修复方案:

厂商已发布修复版本,请将Git更新到如下版本之一:

v2.45.1 / v2.44.1 / v2.43.4 / v2.42.2 / v2.41.1 / v2.40.2 / v2.39.4

https://github.com/git/git/tags

临时修复方案:

  • 使用 "git config --global core.symlinks false" 命令禁用Git的符号链接功能
  • 提高安全意识,不clone来源未知的仓库


微步产品侧支持情况

微步终端安全管理平台OneSEC已支持检测。


时间线


  • 2024.05.16 微步漏洞团队获取该漏洞相关情报
  • 2024.05.20 微步发布报告


- END -

  //  

微步漏洞情报订阅服务


微步提供漏洞情报订阅服务,精准、高效助力企业漏洞运营:

  • 提供高价值漏洞情报,具备及时、准确、全面和可操作性,帮助企业高效应对漏洞应急与日常运营难题;

  • 可实现对高威胁漏洞提前掌握,以最快的效率解决信息差问题,缩短漏洞运营MTTR;

  • 提供漏洞完整的技术细节,更贴近用户漏洞处置的落地;

  • 将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合,对漏洞的实际风险进行持续动态更新

扫码在线沟通
↓↓

点此电话咨询



X漏洞奖励计划


“X漏洞奖励计划”是微步X情报社区推出的一款针对未公开漏洞的奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。

活动详情:https://x.threatbook.com/v5/vulReward


Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/170292
 
57 次点击