Git發(fā)布新版本 修補(bǔ)五處安全漏洞 包含嚴(yán)重遠(yuǎn)程代碼執(zhí)行風(fēng)險(xiǎn)

據(jù)報(bào)道，自5月31日之后，Git分布式版本控制系統(tǒng)已應(yīng)用最新版，并迅速修補(bǔ)了五個(gè)安全漏洞，其中 CVE-2024-32002號(hào)漏洞具有最高級(jí)別的安全風(fēng)險(xiǎn)，它可用于“clone”行動(dòng)中的代碼遠(yuǎn)程執(zhí)行。Git源程序于2005年由林納斯·托瓦茲研發(fā)，初期為滿(mǎn)足Linux內(nèi)核開(kāi)發(fā)需求而設(shè)計(jì)。

CVE-2024-32002漏洞的嚴(yán)重性在于，黑客可通過(guò)創(chuàng)建特定的Git倉(cāng)庫(kù)子模塊，誘騙Git將文件寫(xiě)入.git/目錄，而非子模塊的工作樹(shù)。如此一來(lái)，攻擊者便能在克隆過(guò)程中植入惡意腳本，用戶(hù)幾乎無(wú)法察覺(jué)。

這主要源于Git文件系統(tǒng)對(duì)符號(hào)鏈接（symlinks）的支持以及大小寫(xiě)不敏感，使得遞歸克隆易受大小寫(xiě)混淆影響，從而讓未經(jīng)過(guò)身份驗(yàn)證的遠(yuǎn)程攻擊者得以利用該漏洞，在受害者克隆操作期間執(zhí)行剛克隆的代碼，引發(fā)遠(yuǎn)程代碼執(zhí)行問(wèn)題。

官方安全公告建議，關(guān)閉Git中的符號(hào)鏈接支持（如通過(guò)git config --global core.symlinks false）可有效防止此類(lèi)攻擊。

上述漏洞已在Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2及v2.39.4等多個(gè)版本中得到修復(fù)。若用戶(hù)正使用受影響的版本，應(yīng)立即升級(jí)至：

Git 2.45.0

Git 2.44.0

Git 2.43.* 《 2.43.4

Git 2.42.* 《 2.42.2

Git 2.41.0

Git 2.40.* 《 2.40.2

Git 《 2.39.4

僅限于Windows和Mac系統(tǒng)。