首页 > 清静研究 > 清静转达 > 清静通告

GitHub高危误差清静通告

宣布时间 2018-10-08

误差编号和级别

CVE编号：CVE-2018-17456，危险级别：高危，CVSS分值：官方未评定

影响版本

GitHub Desktop 1.4.1及更早版本

Atom包括了相同的嵌入式Git，也受到了影响。版本1.31.2和1.32.0-beta3

误差概述

10月5日，Git项目披露了一个误差，编号为CVE-2018-17456。当用户克隆恶意存储库时，该误差可能会导致执行恣意代码。

若是执行了特定的下令，即“git clone --recurse-submodules”，其软件中的误差允许在客户端平台上执行恣意代码。现在只有Unix平台受到了影响。

微软澄清了这个问题仅仅影响基于Unix的平台，如Linux和macOS，或适用于在Windows子系统Linux（WSL）的Linux刊行版中运行git的人。这是由于在使用误差时写入磁盘的文件名称中需要冒号，并且由于Windows文件系统不支持冒号，因此Git for Windows不会写入该文件。

GitHub.com和GitHub Enterprise都不会直接受此误差影响。可是，与先前发明的误差一样，GitHub.com将检测恶意存储库，并拒绝实验建设它们的推送或API请求。具有此检测功效的GitHub Enterprise将于10月9日宣布。

误差验证

此误差与CVE-2017-1000117很是相似，由于它们都是与子�？橄喙氐难∠钭⑷牍セ�。在之前的攻击中，恶意存储库会将一个.gitmodules文件发送到一个远程存储库，其中一个子�？橐远袒摺�-”开头。由Git爆发的ssh程序将把它诠释为一个选项。除了选项注入针对子git（child git）克隆它自己外，此攻击以类似的方法举行。

恶意“.gitmodules”样例，运行“git clone --recurse-submodules”时，Git会剖析提供的.gitmodules文件中的URL字段，并将其作为参数盲目地转达给“git clone”子历程。若是URL字段设置为以短划线开头的字符串，则此“git clone”子历程将URL诠释为选项。这可能导致执行超等项目中的恣意剧本作为运行“git clone”的用户。

修复建议

GitHub勉励所有GitHub桌面用户更新到桌面应用程序中现有的最新版本（1.4.2和1.4.3-beta0）
Atom通过完成以下任何一项，确保使用的是最新Atom版本：
Windows：从工具栏中，单击】帐助” - >“检查更新”
MacOS：从菜单栏中单击“Atom” - >“检查更新”
Linux：通过从atom.io下载最新版本手动更新

参考链接

https://www.bleepingcomputer.com/news/security/git-project-patches-remote-code-execution-vulnerability-in-git/
https://seclists.org/oss-sec/2018/q4/19

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯时

清静研究

GitHub高危误差清静通告

关于尊龙凯时

解决计划

清静研究

联系尊龙凯时

7*24小时服务热线