漏洞预警:更新Git客户端 (CVE-2014-9390)

  • A+
所属分类:WooYun-Zone

from:https://github.com/blog/1938-git-client-vulnerability-announced

今天公开了一个非常严重的Git安全漏洞,影响所有官方Git客户端,包括GitHub上的Windows和Mac客户端。这是一个客户端漏洞, github.com和GitHub的企业不直接受到影响。

攻击者可以制作一个恶意的Git树,这将导致Git在进行clone或者check时覆盖它自己.git/config文件,导致客户端执行任意命令。 如果客户端运行在OS X(HFS +)或Microsoft Windows(NTFS,FAT)上时可以利用此漏洞。Linux上的客户不会受到影响。

我们希望所有使用Git用户马上更新客户端,在clone访问不信任的Git仓库时要小心。

托管在github.com的仓库不能包含任何触发该漏洞的恶意tree,在push的时候我们现在已经阻止可以这些恶意的tree。 我们还对github.com上的所有代码扫描是否存在恶意内容。

GitHub的Windows版本Mac版本都可以下载了,已经修复了该漏洞。

此外,Git的下列版本的更新解决此漏洞:

Git的核心团队已经宣布维护版本为Git的(v1.8.5.6,v1.9.5,V2.0.5,v2.1.4,并且V2.2.1)。

GIT中的Windows版本(也称为MSysGit)已发布维护版本1.9.5。

两大的Git库, libgit2和JGit ,已经发布的维护版本,修复。 使用这些库的第三方软件强烈建议更新。

关于该漏洞的详细信息可以在http://article.gmane.org/gmane.linux.kernel/1853266找到

  1. 1#

    瞌睡龙 (drops) | 2014-12-19 11:20

    因为HFS文件系统(Mac OS X)会忽略Unicode字符,所以例如当commit .g\u200cit/config目录时,U+200C会被忽略,在HFS上check时,将会重写.git/config目录

  2. 2#

    小胖子 | 2014-12-19 11:20

    抢地主!

  3. 3#

    过客 | 2014-12-19 11:24

    如何执行命令?

  4. 4#

    by灰客 | 2014-12-19 12:17

    加倍!

  5. 5#

    adm1n (像夜归的灵魂已迷失了方向) | 2014-12-19 12:42

    关注

  6. 6#

    jeary ((:‮?办么怎,了多越来越法方象抽的我)) | 2014-12-19 12:42

    飞机!

  7. 7#

    YY-2012 (#)<alert(“dandan”)>(#) | 2014-12-19 13:09

    连对

  8. 8#

    Mujj (为何我的眼中饱含泪水?因为我装逼装的深沉) | 2014-12-19 13:24

    王炸

  9. 9#

    sky (啪啪啪啪脸好疼是不是?) | 2014-12-19 13:31

    双飞!

  10. 10#

    zzR | 2014-12-19 14:16

    不要!

  11. 11#

    shellme | 2014-12-19 14:21

    决战都天亮

  12. 12#

    Master (小菜一枚) | 2014-12-19 17:45

    钱都输光了

  13. 13#

    missdiog | 2014-12-19 23:06

    git clone http://gitcasefail.googlecode.com/svn/trunk/repo/

  14. 14#

    爱捣蛋的鬼 | 2014-12-22 10:53

    poc