漏洞预警:更新Git客户端 (CVE-2014-9390) (WOOYUN)

  • A+
所属分类:WooYun-Zone

瞌睡龙 (drops) 漏洞预警:更新Git客户端 (CVE-2014-9390)  (WOOYUN) | 2014-12-19 11:19

from:https://github.com/blog/1938-git-client-vulnerability-announced

今天公开了一个非常严重的Git安全漏洞,影响所有官方Git客户端,包括GitHub上的Windows和Mac客户端。这是一个客户端漏洞, github.com和GitHub的企业不直接受到影响。

攻击者可以制作一个恶意的Git树,这将导致Git在进行clone或者check时覆盖它自己.git/config文件,导致客户端执行任意命令。 如果客户端运行在OS X(HFS +)或Microsoft Windows(NTFS,FAT)上时可以利用此漏洞。Linux上的客户不会受到影响。

我们希望所有使用Git用户马上更新客户端,在clone访问不信任的Git仓库时要小心。

托管在github.com的仓库不能包含任何触发该漏洞的恶意tree,在push的时候我们现在已经阻止可以这些恶意的tree。 我们还对github.com上的所有代码扫描是否存在恶意内容。

GitHub的Windows版本Mac版本都可以下载了,已经修复了该漏洞。

此外,Git的下列版本的更新解决此漏洞:

Git的核心团队已经宣布维护版本为Git的(v1.8.5.6,v1.9.5,V2.0.5,v2.1.4,并且V2.2.1)。

GIT中的Windows版本(也称为MSysGit)已发布维护版本1.9.5。

两大的Git库, libgit2和JGit ,已经发布的维护版本,修复。 使用这些库的第三方软件强烈建议更新。

关于该漏洞的详细信息可以在http://article.gmane.org/gmane.linux.kernel/1853266找到

分享到: