漏洞通告：Git 远程代码执行漏洞风险提示

近日，持安科技安全运营团队监测到Git官方修复 Git 远程代码执行漏洞 (CVE-2024-32002)，在受漏洞影响的版本中，可以利用 Git 的一个 Bug 制作带有子模块的版本库，从而欺骗 Git，使其不将文件写入子模块的工作树，而是写入".git/"目录。导致后续远程代码执行。如果在 Git 中禁用了符号链接支持（例如通过 git config --global core.symlinks false ），所述攻击将不起作用。

目前该漏洞技术细节与 EXP 已在互联网上公开，鉴于该漏洞影响范围较大，且主要影响 Windows 和 MacOS 办公网环境，建议客户根据自身情况尽快做好自查及防护。

目前该漏洞相关细节已经开始在网络上流传，分析漏洞利用细节发现此漏洞危害较高，且利用复杂度极低。

Git存在远程代码执行漏洞复现截图

Windows 和 MacOS 系统

git 2.45.0 

git 2.44.0 

git 2.43.* < 2.43.4 

git 2.42.* < 2.42.2 

git 2.41.0 

git 2.40.* < 2.40.2 

git < 2.39.4 

1. 通过 git config --global core.symlinks false ，禁用符号链接支持。

2. 避免从不受信任的来源克隆存储库。

建议受影响用户升级至最新版本：

git 2.45.* >= 2.45.1 

git 2.44.* >= 2.44.1 

git 2.43.* >= 2.43.4 

git 2.42.* >= 2.42.2 

git 2.41.* >= 2.41.1 

git 2.40.* >= 2.40.2 

git >= 2.39.4

[1]https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv

[2]https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d

[3]https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinks

[4]https://git-scm.com/docs/git-clone#Documentation/git-clone.txt---recurse-submodulesltpathspecgt

[5]https://nvd.nist.gov/vuln/detail/CVE-2024-32002