首页 > 安全钻研 > 安全传递 > 安全公告

GitHub高危缝隙安全公告

颁布功夫 2018-10-08

缝隙编号和级别

CVE编号：CVE-2018-17456，危险级别：高危，CVSS分值：官方未评定

影响版本

GitHub Desktop 1.4.1及更早版本

Atom蕴含了一样的嵌入式Git，也受到了影响。版本1.31.2和1.32.0-beta3

缝隙概述

10月5日，Git项目披露了一个缝隙，编号为CVE-2018-17456。当用户克隆恶意存储库时，该缝隙可能会导致执行肆意代码。

若是执行了特定的号令，即“git clone --recurse-submodules”，其软件中的缝隙允许在客户端平台上执行肆意代码。目前只有Unix平台受到了影响。

微软澄清了这个问题仅仅影响基于Unix的平台，如Linux和macOS，或合用于在Windows子系统Linux（WSL）的Linux刊行版中运行git的人。这是由于在利用缝隙时写入磁盘的文件名称中必要冒号，并且由于Windows文件系统不支持冒号，因而Git for Windows不会写入该文件。

GitHub.com和GitHub Enterprise都不会直接受此缝隙影响。但是，与先前发现的缝隙一样，GitHub.com将检测恶意存储库，并回绝尝试创建它们的推送或API要求。拥有此检测职能的GitHub Enterprise将于10月9日颁布。

缝隙验证

此缝隙与CVE-2017-1000117极度类似，由于它们都是与子�？橛泄氐难∠钭⑷牍セ�。在之前的攻击中，恶意存储库会将一个.gitmodules文件发送到一个远程存储库，其中一个子�？橐远袒摺�-”开头。由Git产生的ssh法式将把它诠释为一个选项。除了选项注入针对子git（child git）克隆它自己表，此攻击以类似的方式进行。

恶意“.gitmodules”样例，运杏装git clone --recurse-submodules”时，Git会解析提供的.gitmodules文件中的URL字段，并将其作为参数盲目地传递给“git clone”子过程。若是URL字段设置为以短划线开头的字符串，则此“git clone”子过程将URL诠释为选项。这可能导致执行超等项目中的肆意剧本作为运杏装git clone”的用户。

建复建议

GitHub激励所有GitHub桌面用户更新到桌面利用法式中现有的最新版本（1.4.2和1.4.3-beta0）
Atom通过实现以下任何一项，确保使用的是最新Atom版本：
Windows：从工具栏中，单击“援手” - >“查抄更新”
MacOS：从菜单栏中单击“Atom” - >“查抄更新”
Linux：通过从atom.io下载最新版本手动更新

参考链接

https://www.bleepingcomputer.com/news/security/git-project-patches-remote-code-execution-vulnerability-in-git/
https://seclists.org/oss-sec/2018/q4/19

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

GitHub高危缝隙安全公告

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线