Git专案(Git Project)于上周推出Git 2.19.1,以修补一个可能导致远端程序攻击的重大漏洞,且该漏洞影响GitHub桌面版、文字编辑器Atom、命令列版本的Git,以及其它任何嵌入Git的应用。GitHub也紧急修补了这个漏洞。这个漏洞由一位长期漏洞通报者joernchen向GitHub漏洞奖励机制提出通报,因此而获得1万点的奖励。
此一编号为CVE-2018-17456的全安漏洞允许骇客在储存库中建立一个.gitmodules档案,内含一个以破折号为首的URL,当使用者以--recurse-submodules复制(Clone)该储存库时,Git会解析.gitmodules档案中的URL栏位,直接把它当作子程序中的引数,并把含有破折号的URL当作选项,即能执行于上层专案(superproject)中的任意脚本程序。
除了Git 2.19.1之外,Git专案也修补了2.14.5、2.15.3、2.16.5、2.17.2及2.18.1等旧版本的相关漏洞。此外,在2.17.2,2.18.1及2.19.1中亦提供一个fsck的检查功能,能够在取得或接受一个"上传"(Push)时检查这类的恶意储存库。
受影响的Git应用包括GitHub Desktop 1.4.1及之前的版本,使用者可更新至1.4.2或1.4.3测试版,Atom用户则可升级到1.31.2及1.32.0测试版。应该要更新的还有命令列版本的Git用户,以及任何嵌入Git的应用程式。
Git专案指出,不论是GitHub.com或GitHub Enterprise都未直接受到此一漏洞的影响,其中,GitHub.com已能侦测并防止这类的恶意储存库,预计于10月9日出炉的GitHub Enterprise也将具备相关的侦测能力。