社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Git

【已复现】Git 远程代码执行漏洞(CVE-2024-32002)安全风险通告

奇安信CERT • 6 月前 • 406 次点击  

● 点击↑蓝字关注我们,获取更多安全风险通告



漏洞概述

漏洞名称

Git 远程代码执行漏洞

漏洞编号

QVD-2024-18126,CVE-2024-32002

公开时间

2024-05-14

影响量级

万级

奇安信评级

高危

CVSS 3.1分数

8.3

威胁类型

代码执行

利用可能性

POC状态

已公开

在野利用状态

未发现

EXP状态

已公开

技术细节状态

已公开

危害描述:未经身份认证的远程攻击者利用该漏洞使受害者克隆操作期间执行刚刚克隆的代码,从而导致远程代码执行,该漏洞可被用于钓鱼和投毒。


01
漏洞详情
>>>>

影响组件

Git是一个分布式版本控制系统,它广泛用于协作开发和管理软件项目。Git可以跟踪文件的变化,记录每一次修改,并且允许多人协作在同一个项目上而不会互相覆盖彼此的工作。

>>>>

漏洞描述

近日,奇安信CERT监测到官方修复Git 远程代码执行漏洞(CVE-2024-32002),由于Git在支持符号链接的不区分大小写的文件系统上的递归克隆容易受到大小写混淆的影响,未经身份认证的远程攻击者利用该漏洞使受害者克隆操作期间执行刚刚克隆的代码,从而导致远程代码执行。目前该漏洞技术细节与EXP已在互联网上公开鉴于该漏洞影响范围较大,只影响Windows和Mac系统,建议客户尽快做好自查及防护。


02
影响范围
>>>>

影响版本

git 2.45.0

git 2.44.0

git 2.43.* < 2.43.4

git 2.42.* < 2.42.2

git 2.41.0

git 2.40.* < 2.40.2

git < 2.39.4

(只影响Windows和Mac系统版本)

>>>>

其他受影响组件



03
复现情况

目前,奇安信威胁情报中心安全研究员已成功复现Git 远程代码执行漏洞(CVE-2024-32002),截图如下:


04
处置建议
>>>>

安全更新

目前官方已有可更新版本,建议受影响用户升级至最新版本:

git 2.45.* >= 2.45.1

git 2.44.* >= 2.44.1

git 2.43.* >= 2.43.4

git 2.42.* >= 2.42.2

git 2.41.* >= 2.41.1

git 2.40.* >= 2.40.2

git >= 2.39.4

下载地址:

https://github.com/git/git/tags

>>>>

缓解方案

1.如果 Git 中禁用了符号链接支持(例如通过 git config --global core.symlinks false),所描述的攻击将不起作用。

2.最好避免从不受信任的来源克隆存储库。

>>>>

产品解决方案

奇安信开源卫士已支持

奇安信开源卫士20240520. 632 版本已支持对Git 远程代码执行漏洞(CVE-2024-32002)的检测。


05
参考资料

[1]https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv

[2]https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d

[3]https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinks

[4]https://git-scm.com/docs/git-clone#Documentation/git-clone.txt---recurse-submodulesltpathspecgt



06
时间线

2024年5月20日,奇安信 CERT发布安全风险通告。



07
漏洞情报服务

奇安信ALPHA威胁分析平台已支持漏洞情报订阅服务:




奇安信 CERT
致力于第一时间为企业级用户提供权威漏洞情报和有效解决方案。

















点击↓阅读原文,到ALPHA威胁分析平台订阅更多漏洞信息。

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/170303
 
406 次点击