这是一个创建于 3945 天前的主题,其中的信息可能已经有所发展或是发生改变。
Git 官方近日发布了一条重要的消息,所有版本的 Git 客户端在大小写不敏感的文件系统上均存在安全漏洞,包括 Windows 和 Mac 的客户端。
攻击者可以通过构造特殊 repo 内容覆盖 Git 的仓库级配置文件 .git/config。因为该漏洞只存在于客户端中,所以网站与企业版都不会受到直接的影响。
GitCafe 友情提醒,升级到 V2.2.1 等紧急维护版本即可以解决这个问题。
漏洞!大小写惹的祸?
这个漏洞源于对大小写不敏感或者不区分大小写的文件系统。比如攻击者可以建立一个恶意的 Git 树使 git/config 被覆盖,从而修改 Git 仓库中的代码。
OS X (HFS+) 或任何 Windows (NTFS, FAT) 版本的 Git 客户端上都存在这一问题。对于 Linux 客户端,如果它的文件系统对字母大小写敏感,那么它就不受此漏洞的影响。
不过,GitCafe 必须提醒大家的一点是,即使这个漏洞不会太影响到 Linux 的用户,如果你提供的是托管的服务,而你的用户可能会获取你的服务到 Windows 或者 Mac OS X 机器上,我们强烈地建议你更新以保护还在使用现有 Git 版本的用户。
所以请使用 Git 的用户和企业尽快更新客户端。同时如果用户访问代码副本托管在不安全或者不受信任主机上的 Git 库时,一定要格外小心。
Git 官方称,当下托管在网站上的库中是不可能包含恶意程序的,因为在托管时其已经进行了严格的检查。
Git 官方还建议所有 Git 用户都应该立即更新他们的 Git 应用程序,不仅限于 Windows 和 Mac 用户,网页版用户也同样需要。
升级到 V 2.2.1
升级到 V2.2.1 等紧急维护版本可以解决。
V2.2.0 以后的更改如下:
Hartmut Henkel (1):
l10n:de.po: 修复拼写错误
Jeff King (8):
unpack-trees: 将错误条目添加到索引
read-tree: 为混乱的路径 . 和 git 添加测试
verify_dotfile(): 阻止 .git 不区分大小写
t1450: 重构 .、. .、.git fsck 测试
fsck: 注意到 .git 不区分大小写
use utf8: 添加 is_hfs_dotgit() 的帮助
读缓存: 选择不允许 HFS +.git 变体
fsck: 抱怨位于树中的 HFS +.git 别名
Johannes Schindelin (3):
路径: 添加 is_ntfs_dotgit() 的帮助
读缓存: 选择不允许 NTFS.git 变体
fsck: 抱怨位于树中的 NTFS .git 别名
以下 Git 版本中不包含该漏洞:
V1.8.5.6
V1.9.5(专门针对 Windows 用户)
V2.0.5
V2.1.4
V2.2.1
PS:以上皆是转载,具体是不是这个问题不知道,反正我这种丝也没能力影响公司的git版本,只能自己升级下就算了。
攻击者可以通过构造特殊 repo 内容覆盖 Git 的仓库级配置文件 .git/config。因为该漏洞只存在于客户端中,所以网站与企业版都不会受到直接的影响。
GitCafe 友情提醒,升级到 V2.2.1 等紧急维护版本即可以解决这个问题。
漏洞!大小写惹的祸?
这个漏洞源于对大小写不敏感或者不区分大小写的文件系统。比如攻击者可以建立一个恶意的 Git 树使 git/config 被覆盖,从而修改 Git 仓库中的代码。
OS X (HFS+) 或任何 Windows (NTFS, FAT) 版本的 Git 客户端上都存在这一问题。对于 Linux 客户端,如果它的文件系统对字母大小写敏感,那么它就不受此漏洞的影响。
不过,GitCafe 必须提醒大家的一点是,即使这个漏洞不会太影响到 Linux 的用户,如果你提供的是托管的服务,而你的用户可能会获取你的服务到 Windows 或者 Mac OS X 机器上,我们强烈地建议你更新以保护还在使用现有 Git 版本的用户。
所以请使用 Git 的用户和企业尽快更新客户端。同时如果用户访问代码副本托管在不安全或者不受信任主机上的 Git 库时,一定要格外小心。
Git 官方称,当下托管在网站上的库中是不可能包含恶意程序的,因为在托管时其已经进行了严格的检查。
Git 官方还建议所有 Git 用户都应该立即更新他们的 Git 应用程序,不仅限于 Windows 和 Mac 用户,网页版用户也同样需要。
升级到 V 2.2.1
升级到 V2.2.1 等紧急维护版本可以解决。
V2.2.0 以后的更改如下:
Hartmut Henkel (1):
l10n:de.po: 修复拼写错误
Jeff King (8):
unpack-trees: 将错误条目添加到索引
read-tree: 为混乱的路径 . 和 git 添加测试
verify_dotfile(): 阻止 .git 不区分大小写
t1450: 重构 .、. .、.git fsck 测试
fsck: 注意到 .git 不区分大小写
use utf8: 添加 is_hfs_dotgit() 的帮助
读缓存: 选择不允许 HFS +.git 变体
fsck: 抱怨位于树中的 HFS +.git 别名
Johannes Schindelin (3):
路径: 添加 is_ntfs_dotgit() 的帮助
读缓存: 选择不允许 NTFS.git 变体
fsck: 抱怨位于树中的 NTFS .git 别名
以下 Git 版本中不包含该漏洞:
V1.8.5.6
V1.9.5(专门针对 Windows 用户)
V2.0.5
V2.1.4
V2.2.1
PS:以上皆是转载,具体是不是这个问题不知道,反正我这种丝也没能力影响公司的git版本,只能自己升级下就算了。
 | 1 xjoker 2014-12-22 16:09:55 +08:00 怪不得我上次clone了一个代码怎么弹出来计算器 |
 | 2 luoyou1014 2014-12-22 16:16:33 +08:00 git 网页版用户? |
 | 3 typcn 2014-12-22 17:25:57 +08:00 用的 IDE 插件。。 感觉升级无力,不过项目人数屈指可数,应该没事 |
 | 4 sanddudu 2014-12-22 17:34:35 +08:00 via iPhone 上周就有人发过这个漏洞了,github 也在上周发出了警告 是因为英文消息的关注度很低吗 |
 | 5 ryd994 2014-12-22 17:35:38 +08:00 via Android 热烈祝贺楼主火星归来 |
 | 6 jianghu52 OP |
 | 7 urmyfaith 2014-12-22 20:30:01 +08:00 Terminal里的git也会收到影响么? = = |
 | 8 boom11235 2014-12-22 22:31:05 +08:00 已更新到2.2.1 |
 | 9 327beckham 2014-12-22 22:36:46 +08:00 有个小疑问,OS X是大小写敏感的吧? |
 | 10 faceair 2014-12-22 22:57:32 +08:00 @327beckham 不敏感 |
Select Language