Уязвимость Git: Выполнение Произвольных Команд

В Git обнаружена новая критическая уязвимость CVE-2014-9390, которая позволяет выполнять произвольные команды на клиенте.

Сущность уязвимости заключается в возможности совершить .

Git/конфигурация , что эквивалентно пути службы .

git/конфигурация в файловых системах, нечувствительных к регистру.

Это дает возможность инициировать запуск произвольных команд на клиенте.

Как правило, этой уязвимости подвержены рабочие станции под управлением Windows и Mac OS X; Системы Linux будут уязвимы, если используются файловые системы, нечувствительные к регистру.

В соответствии с объявление в информационном бюллетене Linux-ядро

Ранее мы разрешали фиксацию в «.

Git/config», однако в файловых системах, нечувствительных к регистру, это позволяло выполнять фиксацию в «.

git/config», что определенно не является ожидаемым поведением программы.

Git теперь запрещает использование «.

Git» (в любом случае) в пути.

git , Например, git~1/конфигурация дает доступ к .

git/конфигурация .

Файловая система HFS+ также может предоставить доступ к этому пути при использовании символов Юникода, например.

.

g\u200cit/config .

Такие пути теперь будут отклоняться Git в потенциально уязвимых системах.

В других системах, таких как Linux, можно намеренно включить аналогичное поведение системы, чтобы обеспечить кросс-платформенную функциональность и в целом повысить безопасность.

Вы можете проверить наличие проблем, используя мерзавец fsck .

Следующие исправления уже выпущены:

• Гитхаб для Windows И GitHub для Mac
• Основная команда Git выпущенные обновления для всех поддерживаемых версий Git (v1.8.5.6, v1.9.5, v2.0.5, v2.1.4 и v2.2.1).

• Git для Windows (он же MSysGit) обновлен до 1.9.5 .

• Популярные библиотеки libgit2 И JGit также были обновлены

Сразу после появления информации об ошибке сотрудники компании запретили новые вредоносные коммиты и проверили все существующие репозитории на наличие CVE-2014-9390. Теги: #git #github #security #уязвимость #информационная безопасность #программирование #git #системы контроля версий #github

• Каталоги Нишевых Веб-Сайтов

  19 Oct, 24

• Причина Выбора Облачного Erp Для Малого Бизнеса

  19 Oct, 24

• Между Нигерией И Бразилией: Исследование Поведения Интернет-Покупателей В России И Десяти Других Странах

  19 Oct, 24

• Процессор Nxp S32G Для Архитектуры Современной Автомобильной Электроники

  19 Oct, 24

• Стабильность Нейтрона В Атомном Ядре

  19 Oct, 24

• Как Подключить Скрипт К Стороннему Сайту

  19 Oct, 24

• Документирование Форматов Обмена Информацией – Легко И Просто

  19 Oct, 24

• Подкаст «Заметки О Qt» S01E03

  19 Oct, 24

• Дайджест Свежих Материалов Из Мира Фронтенда За Прошедшую Неделю №224 (15 - 21 Августа 2016)

  19 Oct, 24

• Мой Hi-Fi Компьютер

  19 Oct, 24