社区所有版块导航
Python
python开源   Django   Python   DjangoApp   pycharm  
DATA
docker   Elasticsearch  
aigc
aigc   chatgpt  
WEB开发
linux   MongoDB   Redis   DATABASE   NGINX   其他Web框架   web工具   zookeeper   tornado   NoSql   Bootstrap   js   peewee   Git   bottle   IE   MQ   Jquery  
机器学习
机器学习算法  
Python88.com
反馈   公告   社区推广  
产品
短视频  
印度
印度  
Py学习  »  Git

漏洞通告:Git 远程代码执行漏洞风险提示

持安科技 • 1 月前 • 45 次点击  


组件介绍


Git 是一种分布式版本控制系统,用于跟踪文件版本。程序员在合作开发软件时通常用它来控制源代码。Git 维护着整个版本库(又称 repo)的本地副本,具有历史记录和版本跟踪功能,与网络访问或中央服务器无关。每个计算机上的 repo 都存储在一个标准目录中,并带有额外的隐藏文件,以提供版本控制功能。


漏洞描述


近日,持安科技安全运营团队监测到Git官方修复 Git 远程代码执行漏洞 (CVE-2024-32002),在受漏洞影响的版本中,可以利用 Git 的一个 Bug 制作带有子模块的版本库,从而欺骗 Git,使其不将文件写入子模块的工作树,而是写入".git/"目录。导致后续远程代码执行。如果在 Git 中禁用了符号链接支持(例如通过 git config --global core.symlinks false ),所述攻击将不起作用。

目前该漏洞技术细节与 EXP 已在互联网上公开,鉴于该漏洞影响范围较大,且主要影响 Windows 和 MacOS 办公网环境,建议客户根据自身情况尽快做好自查及防护。

目前该漏洞相关细节已经开始在网络上流传,分析漏洞利用细节发现此漏洞危害较高,且利用复杂度极低。

Git存在远程代码执行漏洞复现截图


影响范围


影响版本

Windows 和 MacOS 系统

git 2.45.0 

git 2.44.0 

git 2.43.* < 2.43.4 

git 2.42.* < 2.42.2 

git 2.41.0 

git 2.40.* < 2.40.2 

git < 2.39.4 



修复方案


临时缓解方案

1. 通过 git config --global core.symlinks false ,禁用符号链接支持。

2. 避免从不受信任的来源克隆存储库。

安全更新

建议受影响用户升级至最新版本:

git 2.45.* >= 2.45.1 

git 2.44.* >= 2.44.1 

git 2.43.* >= 2.43.4 

git 2.42.* >= 2.42.2 

git 2.41.* >= 2.41.1 

git 2.40.* >= 2.40.2 

git >= 2.39.4

下载地址:

https://github.com/git/ 


参考资料


[1]https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv

[2]https://github.com/git/git/commit/97065761333fd62db1912d81b489db938d8c991d

[3]https://git-scm.com/docs/git-config#Documentation/git-config.txt-coresymlinks

[4]https://git-scm.com/docs/git-clone#Documentation/git-clone.txt---recurse-submodulesltpathspecgt

[5]https://nvd.nist.gov/vuln/detail/CVE-2024-32002


持安科技

做最懂用户的零信任安全专家

· 应用层零信任落地加速!持安科技的2023年度总结

· Gartner《中国零信任网络访问市场指南》发布!持安科技被评为“代表厂商”

· 再获Gartner认可!持安科技获评ZTNA领域代表供应商

· 百度零信任架构落地经验分享——7层零信任方案

· 圆满完成重保网络防护行动,持安科技获西南兵工致信感谢

Python社区是高质量的Python/Django开发社区
本文地址:http://www.python88.com/topic/170360
 
45 次点击