GitHub修復允許任意代碼執行的安全漏洞

GitHub是面向全球開發人員的首選代碼共享和託管服務。雖然歐盟尚未最終確定該交易，但該公司在6月被微軟收購，作價75億美元。今天，GitHub宣布了他們系統中的一個漏洞，允許任意代碼執行的安全漏洞的攻擊。現在已經解決了這個問題，目前只有Unix平台受到了影響。

GitHub的安全列表表示，如果執行了特定的命令，即「git clone --recurse-submodules」，其軟體中的漏洞允許在客戶端平台上執行任意代碼。它解釋說：

運行「git clone --recurse-submodules」時，Git會解析提供的.gitmodules文件中的URL欄位，並將其作為參數盲目地傳遞給「git clone」子進程。如果URL欄位設置為以短劃線開頭的字元串，則此「git clone」子進程將URL解釋為選項。這可能導致執行超級項目中的任意腳本作為運行「git clone」的用戶。

在一篇博客文章中， 微軟 澄清了這個問題僅僅影響基於Unix的平台，如Linux和macOS，或適用於在 Windows 子系統Linux（WSL）的Linux發行版中運行git的人。這是因為在利用漏洞時寫入磁碟的文件名稱中需要冒號，並且由於Windows文件系統不支持冒號，因此Git for Windows不會寫入該文件。

該公司還注意到其在任何平台（macOS，Windows）上使用Git的 Visual Studio 產品不受影響，但GitHub仍然建議用戶升級到Git版本2.17.2,2.18.1和2.19.1。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！