首页 > 清静研究 > 清静转达 > 清静通告

GitHub高危误差清静通告

宣布时间 2018-10-08

误差编号和级别

CVE编号：CVE-2018-17456，，，，，危险级别：高危，，，，，CVSS分值：官方未评定

影响版本

GitHub Desktop 1.4.1及更早版本

Atom包括了相同的嵌入式Git，，，，，也受到了影响。。。。。。。版本1.31.2和1.32.0-beta3

误差概述

10月5日，，，，，Git项目披露了一个误差，，，，，编号为CVE-2018-17456。。。。。。。当用户克隆恶意存储库时，，，，，该误差可能会导致执行恣意代码。。。。。。。

若是执行了特定的下令，，，，，即“git clone --recurse-submodules”，，，，，其软件中的误差允许在客户端平台上执行恣意代码。。。。。。。现在只有Unix平台受到了影响。。。。。。。

微软澄清了这个问题仅仅影响基于Unix的平台，，，，，如Linux和macOS，，，，，或适用于在Windows子系统Linux（WSL）的Linux刊行版中运行git的人。。。。。。。这是由于在使用误差时写入磁盘的文件名称中需要冒号，，，，，并且由于Windows文件系统不支持冒号，，，，，因此Git for Windows不会写入该文件。。。。。。。

GitHub.com和GitHub Enterprise都不会直接受此误差影响。。。。。。。可是，，，，，与先前发明的误差一样，，，，，GitHub.com将检测恶意存储库，，，，，并拒绝实验建设它们的推送或API请求。。。。。。。具有此检测功效的GitHub Enterprise将于10月9日宣布。。。。。。。

误差验证

此误差与CVE-2017-1000117很是相似，，，，，由于它们都是与子�？？？？？？？橄喙氐难∠钭⑷牍セ鳌�。。。。。。在之前的攻击中，，，，，恶意存储库会将一个.gitmodules文件发送到一个远程存储库，，，，，其中一个子�？？？？？？？橐远袒摺�-”开头。。。。。。。由Git爆发的ssh程序将把它诠释为一个选项。。。。。。。除了选项注入针对子git（child git）克隆它自己外，，，，，此攻击以类似的方法举行。。。。。。。

恶意“.gitmodules”样例，，，，，运行“git clone --recurse-submodules”时，，，，，Git会剖析提供的.gitmodules文件中的URL字段，，，，，并将其作为参数盲目地转达给“git clone”子历程。。。。。。。若是URL字段设置为以短划线开头的字符串，，，，，则此“git clone”子历程将URL诠释为选项。。。。。。。这可能导致执行超等项目中的恣意剧本作为运行“git clone”的用户。。。。。。。

修复建议

GitHub勉励所有GitHub桌面用户更新到桌面应用程序中现有的最新版本（1.4.2和1.4.3-beta0）
Atom通过完成以下任何一项，，，，，确保使用的是最新Atom版本：
Windows：从工具栏中，，，，，单击】帐助” - >“检查更新”
MacOS：从菜单栏中单击“Atom” - >“检查更新”
Linux：通过从atom.io下载最新版本手动更新

参考链接

https://www.bleepingcomputer.com/news/security/git-project-patches-remote-code-execution-vulnerability-in-git/
https://seclists.org/oss-sec/2018/q4/19

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

凯发k8

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯发k8

清静研究

GitHub高危误差清静通告

关于凯发k8

解决计划

清静研究

联系凯发k8

7*24小时效劳热线