GitHub是面向全球開發人員的首選程式碼共享和託管服務。雖然歐盟尚未最終確定該交易,但該公司在6月被微軟收購,作價75億美元。近日,GitHub宣佈了他們系統中的一個漏洞,允許任意程式碼執行的安全漏洞的攻擊。現在已經解決了這個問題,目前只有Unix平臺受到了影響。
GitHub的安全串列表示,如果執行了特定的命令,即“git clone –recurse-submodules”,其軟體中的漏洞允許在客戶端平臺上執行任意程式碼。它解釋說:
執行“git clone –recurse-submodules”時,Git會解析提供的.gitmodules檔案中的URL欄位,並將其作為引數盲目地傳遞給“git clone”子行程。如果URL欄位設定為以短劃線開頭的字串,則此“git clone”子行程將URL解釋為選項。這可能導致執行超級專案中的任意指令碼作為執行“git clone”的使用者。
在一篇部落格文章中,微軟澄清了這個問題僅僅影響基於Unix的平臺,如Linux和macOS,或適用於在Windows子系統Linux(WSL)的Linux發行版中執行git的人。這是因為在利用漏洞時寫入磁碟的檔案名稱中需要冒號,並且由於Windows檔案系統不支援冒號,因此Git for Windows不會寫入該檔案。
該公司還註意到其在任何平臺(macOS,Windows)上使用Git的Visual Studio產品不受影響,但GitHub仍然建議使用者升級到Git版本2.17.2,2.18.1和2.19.1。
*來源:cnBeta.COM
更多資訊
◈ 蘋果/亞馬遜/超微駁斥週刊報道:伺服器沒有惡意晶片
http://t.cn/EhY8UIj
◈ 育碧“土豆”伺服器遭DDoS攻擊:《奧德賽》受牽連
http://t.cn/EhY8VeR
◈ 亞馬遜炒掉一名向第三方分享客戶電子郵件地址的員工
http://t.cn/EhY8JEC
◈ 入侵後懂得潛伏量身定製惡意軟體 駭客三大因素成功入侵新保集團網路
http://t.cn/EhY89A8
(資訊來源於網路,安華金和蒐集整理)