聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
GitHub 发布安全公告指出, “该漏洞 (CVE-2022-24765)影响在多用户机器上工作的用户,恶意人员可在受害者当前工作目录之上的共享位置中创建 .git 目录。例如,在Windows 上,攻击者可创建 C:\.git\config,导致所有仓库之外发生的git 调用读取其配置的值。由于某些配置变量(如 core.fsmonitor)触发Git 执行任意命令,因此在共享机器上工作时,它可导致任意命令执行。”
GitHub 建议软件开发人员将系统更新至 Git v2.35.2,防止攻击者获得目标系统上的写权限,从而发动攻击。
第二个漏洞 (CVE-2022-24767) 仅影响Windows 版本的Git 卸载器。从 GitHub 发布的安全公告可知,它和第一个缺陷一样,要发动潜在攻击,首先需要某种级别的受陷访问权限。
攻击需要在目标系统上植入恶意 .dll 文件。建议用户更新至 Windows 版Git v2.35.2,但同样可采取一些临时缓解措施。这些漏洞是 Lockheed Martin 的红队研究员发现的。
GitHub 提供了中心化的 Git 仓库位置,标记软件更新要求。
https://portswigger.net/daily-swig/git-security-vulnerabilities-prompt-updates
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~