大小寫惹得禍:Git客戶端中曝出高危漏洞
責編:admin |2014-12-21 16:38:36Git官方近日發布一條重要消息,所有官方版本的Git客戶端都存在高危漏洞,包括GitHub Windows 和Mac客戶端。因為該漏洞只存在于客戶端中,所以github.com和GitHub企業版不會受到直接的影響。
這個漏洞源于對大小寫不敏感或者不區分大小寫的文件系統。比如攻擊者可以建立一個惡意的Git樹使git/config被覆蓋,從而修改Git倉庫中的代碼。
OS X(HFS+)或任何Windows(NTFS,FAT)版本的GitHub客戶端上都存在這一問題。對于Linux客戶端,如果它的文件系統對字母大小寫敏感,那么它就不受此漏洞的影響。
Git官方強烈建議所有GitHub用戶和企業盡快更新客戶端。同時如果用戶訪問代碼副本托管在不安全或者不受信任主機上的Git庫時,一定要格外小心。
官方公告
Git官方稱,當下托管在github.com官網上的庫中是不可能包含惡意程序的,因為在托管時其已經進行了嚴格的檢查。
Git官方還建議所有GitHub用戶都應該立即更新他們的GitHub應用程序,不僅限于Windows和Mac用戶,網頁版用戶也同樣需要。
以下GitHub版本中不包含該漏洞:
V1.8.5.6
V1.9.5(專門針對Windows用戶)
V2.0.5
V2.1.4
V2.2.1