GitHub修复了许可肆意代码履行的安全缝隙Windows不受影响

GitHub 是面向全球开发职员的首选代码共享和托管服务。固然欧盟还没有终究肯定该交易,但该公司在 6 月被微软收购,作价 75 亿美元。今天,GitHub 颁布发表了他们系统中的一个缝隙,许可肆意代码履行的安全缝隙的攻击。此刻已解决了这个题目,今朝只有 Unix 平台遭到了影响。

GitHub 的安全列表表示,若是履行了特定的号令,即 “git clone –recurse-submodules”,其软件中的缝隙许可在客户端平台上履行肆意代码。它解释说:

运行 “git clone –recurse-submodules” 时,Git 会解析供给的 .gitmodules 文件中的 URL 字段,并将其作为参数盲目地传递给 “git clone” 子进程。若是 URL 字段设置为以短划线开头的字符串,则此 “git clone” 子进程将 URL 解释为选项。这可能导致履行超级项目中的肆意脚本作为运行 “git clone” 的用户。

在一篇博客文章中,微软澄清了这个题目仅仅影响基于 Unix 的平台,如 Linux 和 macOS,或合用于在Windows子系统 Linux(WSL)的 Linux 发行版中运行 git 的人。这是由于在操纵缝隙时写入磁盘的文件名称中需要冒号,并且因为 Windows 文件系统不撑持冒号,是以 Git for Windows 不会写入该文件。

该公司还注重到其在任何平台(macOS,Windows)上利用 Git 的Visual Studio产品不受影响,但 GitHub 依然建议用户进级到 Git 版本 2.17.2,2.18.1 和 2.19.1。

GitHub修复了许可肆意代码履行的安全缝隙Windows不受影响

本文系转载自其它媒体或授权刊载,目的在于信息传递,并不代表本站赞同其观点和对其真实性负责,如有新闻稿件和图片作品的内容、版权以及其它问题的,请联系我们。