預防：Git遠程命令執行漏洞CVE-2018-17456

      近日，Git官方揭露了漏洞CVE-2018-17456，當用戶clone惡意庫時，可能造成任意命令執行，攻擊者可結合釣魚等社會工程手段，來實現對目標主機的控制。這個由Mitre分配了編號CVE-2018-17456的漏洞已在Git 2.19.1中修復。

     惡意庫可以偽造一個.gitmodules，其中包含以破折號開頭的URL。這將影響git clone --recurse-submodules和git submodule update --recursive，因為它們會將這個以破折號開頭的URL遞歸地傳遞給git clone或git submodule子進程，它們會將該URL解釋為命令選項。這可能導致在本地機器上執行任意命令。

       此漏洞與CVE-2017-1000117非常類似，都是與子模塊相關的命令選項注入攻擊。

        影響范圍：

        受影響的版本：Git 2.14.*< 2.14.5              Git 2.15.*< 2.15.3           Git 2.16.*< 2.16.5               Git 2.17.*< 2.17.2          Git 2.18.*< 2.18.1

        不受影響版本：Git 2.19.1      Git 2.18.1           Git 2.17.2            Git 2.16.5         Git 2.15.3               Git 2.14.5

        內置Git的相關軟件也可能受此漏洞影響，詳情如下：

        受影響的版本：GitHub Desktop <=1.4.1                      Atom <1.31.2                        Atom <1.32.0-beta3

        不受影響版本：GitHub Desktop 1.4.2             GitHub Desktop 1.4.3-beta0           Atom 1.31.2          Atom 1.32.0-beta3

         影響排查：

         版本檢查     git –version

         漏洞防護：

         Git官方已經發布了新版本修復了上述漏洞，請受影響的用戶盡快下載更新進行防護，在升級完成之前，用戶應盡量避免clone不受信任的庫來保護自身系統安全。

        升級下載鏈接如下：
       Windows：https://git-scm.com/download/win
       Mac OS X：https://git-scm.com/download/mac
       Linux：https://git-scm.com/download/linux

本文首發于西安瑞天網（http://www.invitre.com），轉載請注明原文地址：http://www.invitre.com/news/91.html