歡迎光臨
每天分享高質量文章

【每日安全資訊】GitHub修複了允許任意代碼執行的安全漏洞 Windows不受影響

GitHub是面向全球開發人員的首選代碼共享和托管服務。雖然歐盟尚未最終確定該交易,但該公司在6月被微軟收購,作價75億美元。近日,GitHub宣佈了他們系統中的一個漏洞,允許任意代碼執行的安全漏洞的攻擊。現在已經解決了這個問題,目前只有Unix平臺受到了影響。

GitHub的安全串列表示,如果執行了特定的命令,即“git clone –recurse-submodules”,其軟體中的漏洞允許在客戶端平臺上執行任意代碼。它解釋說:

運行“git clone –recurse-submodules”時,Git會解析提供的.gitmodules檔案中的URL欄位,並將其作為引數盲目地傳遞給“git clone”子行程。如果URL欄位設置為以短劃線開頭的字串,則此“git clone”子行程將URL解釋為選項。這可能導致執行超級專案中的任意腳本作為運行“git clone”的用戶。

在一篇博客文章中,微軟澄清了這個問題僅僅影響基於Unix的平臺,如Linux和macOS,或適用於在Windows子系統Linux(WSL)的Linux發行版中運行git的人。這是因為在利用漏洞時寫入磁盤的檔案名稱中需要冒號,並且由於Windows檔案系統不支持冒號,因此Git for Windows不會寫入該檔案。

該公司還註意到其在任何平臺(macOS,Windows)上使用Git的Visual Studio產品不受影響,但GitHub仍然建議用戶升級到Git版本2.17.2,2.18.1和2.19.1。

*來源:cnBeta.COM

更多資訊

◈ 蘋果/亞馬遜/超微駁斥周刊報道:服務器沒有惡意芯片

http://t.cn/EhY8UIj

◈ 育碧“土豆”服務器遭DDoS攻擊:《奧德賽》受牽連

http://t.cn/EhY8VeR

◈ 亞馬遜炒掉一名向第三方分享客戶電子郵件地址的員工

http://t.cn/EhY8JEC

◈ 入侵後懂得潛伏量身定製惡意軟體 黑客三大因素成功入侵新保集團網絡

http://t.cn/EhY89A8

(信息來源於網絡,安華金和搜集整理)


赞(0)

分享創造快樂