严重的 Git 漏洞！CVE-2024-32002允许在克隆操作期间远程执行代码

新版本的 Git 已发布，修复了五个漏洞，其中最关键的漏洞 (CVE-2024-32002) 可被攻击者用来在“克隆”操作期间远程执行代码。

关于 Git
Git是一种广泛流行的用于协作软件开发的分布式版本控制系统。它可以安装在运行 Windows、macOS、Linux 和各种 *BSD 发行版的计算机上。

基于 Web 的软件开发平台 GitHub 和 GitLab 都是基于 Git 的。Visual Studio是微软的集成开发环境，直接内置了Git工具（MinGit），其他IDE都依赖它。

CVE-2024-32002 等已修复漏洞
CVE-2024-32002是一个严重漏洞，允许带有子模块的特制 Git 存储库欺骗 Git 将文件写入.git/目录而不是子模块的工作树。

“这可以通过将 Git 与目录和仅大小写不同的符号链接相结合来实现，这样 Git 可以编写其中之一，或另一个，但不能同时编写两者。这种混淆可以用来操纵 Git 编写一个钩子，该钩子将在克隆操作仍在运行时执行，从而使用户没有机会检查正在执行的代码，”Git for Windows 维护者 Johannes Schindelin解释道。

CVE-2024-32004还允许远程执行代码，但仅限于多用户计算机：“攻击者可以准备本地存储库，使其看起来像是缺少对象的部分克隆，这样，当克隆此存储库时， Git 将在操作过程中以执行克隆的用户的完全权限执行任意代码。”

CVE-2024-32465可能允许攻击者绕过克隆不受信任存储库的保护，CVE-2024-32020可能允许不受信任的用户修改克隆（本地）存储库中的对象，而CVE-2024-32021可能用于操纵 Git 进行写入Git 工作树之外和.git/目录之外的文件。

修复和安全更改
这些漏洞已在 Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2 和 v2.39.4 中修复。

他还表示，为了使克隆过程更加安全，Git 进行了更多更改：改进了防止远程代码执行的功能、更好地处理符号链接和目录、更安全地运行钩子（脚本）方式等等。

“升级到最新的 Git 版本对于防范这些漏洞至关重要。如果您无法立即更新，请在克隆存储库时小心，”Schindelin 建议。

Git 的修复版本已嵌入到最新的 GitHub Desktop 版本（适用于 Windows 和 macOS）中。CVE- 2024-32002和 CVE-2024-32004 的修复（1、2 ）已在 Visual Studio 中实现。

文章来源：https://www.helpnetsecurity.com/2024/05/16/git-cve-2024-32002/

原文始发于微信公众号（安全客）：严重的 Git 漏洞！CVE-2024-32002允许在“克隆”操作期间远程执行代码