Eine branchenweite Fehler Sicherheit identifiziert als CVE-2018-11235 wurde in Git entdeckt. Die Sicherheitsanfälligkeit kann zur Ausführung willkürlichen Codes führen, wenn ein Benutzer Operationen in einem böswilligen Repository führt.
CVE-2.018-11.235 Offizielle Beschreibung
In Git vor 2.13.7, 2.14.x vor 2.14.4, 2.15.x vor 2.15.2, 2.16.x vor 2.16.4, und 2.17.x vor 2.17.1, Remotecodeausführung kann auftreten,. Mit einer Handarbeit .gitmodules Datei, ein böswilliges Projekt kann eine beliebige Skript auf einem Computer ausführen, der läuft “git clone –recurse-Submodule” weil Submodul “Namen” werden aus dieser Datei erhalten, und dann auf $ GIT_DIR / Module angehängt, mit führenden zu Directory-Traversal “../” in einem Namen. Schließlich, Post-Kasse Haken aus Submodul ausgeführt, unter Umgehung der beabsichtigten Gestaltung, bei der Haken nicht von einem entfernten Server erhalten.
Microsoft kürzlich berichtet, dass Git 2.17.1 und Git für Windows 2.17.1 (2) wurden nur die benötigte Update veröffentlicht und umfassen. Das Visual Studio Team Service (VSTS) Team nimmt Sicherheitsfragen sehr ernst, und wir ermutigen alle Benutzer ihre Git Kunden so schnell wie möglich zu aktualisieren, um diese Schwachstelle zu beheben, Microsoft sagte.
Microsoft hat diese Art von böswilligen Repositories von Aufschieben auf VSTS blockiert. Diese Aktion hilft sicherzustellen, dass VSTS kann nicht für die Übertragung von in böswilliger Absicht erstellten Repositories verwundbare Systeme nach wie vor anfällig für CVE-2018-11235 als Vektor genutzt werden.
Benutzer Git für Windows ausgeführt wird, sollte sofort Download Die neueste version 2.17.1 (2).
Außerdem, Visual Studio 2017 wird gepatcht auch derzeit und ein Hotfix wird in Kürze verfügbar sein, Microsoft versprochen.