Git 是一个开源的分布式版本控制系统,用于敏捷高效地处理项目。Git 还提供了许多其他功能和工具,如子模块、钩子(hooks)等,这些功能使得 Git 在版本控制和管理方面非常强大和灵活。
2024年5月20日,启明星辰集团VSRC监测到Git远程代码执行漏洞(CVE-2024-32002)的技术细节及PoC/EXP在互联网上公开,该漏洞的CVSS评分为9.1。
Git多个受影响版本在支持符号链接的不区分大小写的文件系统(如Windows和 macOS)上的递归克隆容易受到远程代码执行漏洞的影响,威胁者可通过创建带有特制子模块和符号链接的恶意存储库,导致在git clone过程中执行恶意hook脚本,从而导致远程代码执行。
二、漏洞复现
三、影响范围
Git 2.45.*<
2.45.1
Git 2.44.*<
2.44.1
Git 2.43.*<
2.43.4
Git 2.42.*<
2.42.2
Git 2.41.*<
2.41.1
Git 2.40.*<
2.40.2
Git 2.39.*<
2.39.4
注:当受影响Git版本在不区分大小写的文件系统(如Windows 和 macOS)上执行时易受该漏洞影响。
四、安全措施
4.1 升级版本
目前该漏洞已经修复,受影响用户可更新到以下版本:
Git 2.45.* >= 2.45.1
Git 2.44.* >= 2.44.1
Git 2.43.* >= 2.43.4
Git 2.42.* >= 2.42.2
Git 2.41.* >= 2.41.1
Git 2.40.* >= 2.40.2
Git 2.39.* >= 2.39.4
下载链接:
https://github.com/git/git/tags
4.2 临时措施
如果 Git 中禁用了符号链接支持(例如通过git config --global core.symlinks false),则该攻击将不起作用。
避免从不受信任的来源克隆存储库。
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
4.4 参考链接
https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv
https://nvd.nist.gov/vuln/detail/CVE-2024-32002
https://amalmurali.me/posts/git-rce/
