Git 存在多个漏洞,开发人员应及时更新

admin 2022年4月15日00:09:09安全漏洞评论40 views1018字阅读3分23秒阅读模式

Git 存在多个漏洞,开发人员应及时更新 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士


Git 存在多个漏洞,开发人员应及时更新
Git中存在两个漏洞,其中更严重的 CVE-2022-24765可导致攻击者执行任意命令。Windows 版本和多用户机器上使用的 Git版本面临的风险最大。
Git 存在多个漏洞,开发人员应及时更新


GitHub 发布安全公告指出, “该漏洞 (CVE-2022-24765)影响在多用户机器上工作的用户,恶意人员可在受害者当前工作目录之上的共享位置中创建 .git 目录。例如,在Windows 上,攻击者可创建 C:.gitconfig,导致所有仓库之外发生的git 调用读取其配置的值。由于某些配置变量(如 core.fsmonitor)触发Git 执行任意命令,因此在共享机器上工作时,它可导致任意命令执行。”

GitHub 建议软件开发人员将系统更新至 Git v2.35.2,防止攻击者获得目标系统上的写权限,从而发动攻击。

第二个漏洞 (CVE-2022-24767) 仅影响Windows 版本的Git 卸载器。从 GitHub 发布的安全公告可知,它和第一个缺陷一样,要发动潜在攻击,首先需要某种级别的受陷访问权限。

攻击需要在目标系统上植入恶意 .dll 文件。建议用户更新至 Windows 版Git v2.35.2,但同样可采取一些临时缓解措施。这些漏洞是 Lockheed Martin 的红队研究员发现的。

GitHub 提供了中心化的 Git 仓库位置,标记软件更新要求。




代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com






推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

谷歌和GitHub 联手提出新方法,提振软件供应链安全

GitLab 严重漏洞可用于接管用户账户

GitLab 严重漏洞可导致攻击者窃取runner 注册令牌

逾3万台 GitLab 服务器仍未修复严重漏洞




原文链接

https://portswigger.net/daily-swig/git-security-vulnerabilities-prompt-updates


题图:Pixabay License



本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。




Git 存在多个漏洞,开发人员应及时更新
Git 存在多个漏洞,开发人员应及时更新

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   Git 存在多个漏洞,开发人员应及时更新 觉得不错,就点个 “在看” 或 "” 吧~

原文始发于微信公众号(代码卫士):Git 存在多个漏洞,开发人员应及时更新

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月15日00:09:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Git 存在多个漏洞,开发人员应及时更新 http://cn-sec.com/archives/911782.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: