近日,分布式版本控制系统Git发布新版本,紧急修复了五个安全漏洞。其中最严重的漏洞编号为CVE-2024-32002,在克隆操作中可导致远程代码执行。这个漏洞的破坏力非常大,攻击者可以通过制作特殊的Git仓库子模块,在用户克隆期间欺骗Git将文件写入.git目录,进而植入恶意钩子脚本。虽然受害者可以检查即将执行的代码,但是由于Git文件系统支持符号链接且不区分大小写,在递归克隆过程中易受大小写混淆影响。官方安全公告建议禁用Git中的符号链接支持来防止这种攻击。已知受影响的Git版本包括v2.45.1、v2.44.1、v2.43.4等,请尽快升级这些版本以修复漏洞。
在Windows和Mac上执行PoC
5月31日消息,Git分布式版本控制系统已经发布新版本,并针对五个安全漏洞进行修复。其中最引人注目的漏洞编号为CVE-2024-32002,在克隆操作期间可造成远程代码执行(RCE)风险。
这个潜在的危险源自Git文件系统对符号链接(symlinks)的支持以及其默认情况下遵循大小写敏感原则。未经身份认证的远程攻击者通过利用此漏洞,能够在受害者克隆过程中执行刚刚克隆的代码,从而实现远程代码执行。
据官方安全公告指出,要完全防范此攻击方式,可以禁用Git中的符号链接支持功能(例如:通过git config --global core.symlinks false)。这包括v2.45.0、v2.44.0、v2.43.* < 2.43.4、v2.42.* < 2.42.2、v2 .
