【预警】Git爆裂痕,华为云提示开拓者更新客户端
|
近期,Git社区发明白一个编号为CVE 2018-11235的安详裂痕。因为Git在处理赏罚子模块代码库的配置档案存在裂痕,导致开拓者也许蒙受任代码执行进攻。今朝Git 2.17.1和Windows的2.17.1客户端软件版本已经宣布,华为云DevCloud提议全部开拓者请尽快进级到这一版本或更高版本,DevCloud已经在第一时刻更新并修复了这一裂痕,还采纳了进一步安详法子,防备恶意代码库被推入到华为云。 CVE 2018-11235安详裂痕是当用户在恶意代码库中操纵时,也许会受到恣意代码执行进攻。长途代码存储库包括子模块界说和数据,它们作为文件夹绑缚在一路并提交给父代码存储库。当这个代码客栈被往返覆制时,Git最初会将父客栈放到事变目次中,然后筹备复制子模块。可是Git稍后会发明它不必要复制子模块,由于子模块之前已经提交给父存储库,它也被写入事变目次,这个子模块已经存在于磁盘上。因此Git可以跳过抓取文件的步调,并直接在磁盘上的事变目次中行使子模块。可是并非全部文件都可以被复制,当客户端复制代码库时,无法从处事器获取重要的设置,这包罗 .git 或设置文件的内容。其它,在Git事变流中的特定位置执行的钩子(如Git)将在将文件写入事变目次时执行Post-checkout钩子。不该该从长途处事器复制设置文件的一个重要缘故起因就是,长途处事器也许提供由 Git 执行的恶意代码。 CVE 2018-11235的裂痕正是犯了这个错误,以是Git有子模块来配置裂痕。子模块存储库提交给父存储库,而且从未现实复制过。子模块存储库中也许存在已设置的挂钩,当用户再次呈现时,恶意的父库会被全心计划。将写入事变目次,然后Git读取子模块,将这些子模块写入事变目次,最后一步执行子模块存储库中的任何Post-checkout挂钩。为了办理这个题目,Git客户端此刻将更细心地搜查子文件夹文件夹名称。包括此刻犯科的名称,而且它们不能是标记链接,因此这些文件现实上必需存在于.git 中,而不能位于事变目次中。 华为云DevCloud是作为华为云的构成部门, 是华为30余年研发实践和前沿理念的结晶,为开拓者提供一站式、轻量级的DevOps器材处事,同时,也是辅佐企业修炼内功的一大利器,可以有用支撑企业DevOps落地,实现项目标高效、高质量迭代。将来,华为云DevCloud也将联袂各企业各开拓者,精诚相助互通,实时相应反馈,更好的为宽大开拓者提供不变靠得住的DevOps器材,助力软件企业专注营业创新。 代码托管(CodeHub)为软件开拓者提供基于Git的在线代码托管处事,包罗代码克隆/下载/提交/推送/较量/归并/分支等成果。(5用户+500M存储空间以内免费体验)https://www.huaweicloud.com/product/codehub.html (编辑:河北网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
