CVE-2018-11235として特定された業界全体のセキュリティ上の欠陥がGitで発見されました. この脆弱性は、ユーザーが悪意のあるリポジトリで操作を実行すると、任意のコードが実行される可能性があります.
CVE-2018-11235公式説明
以前のGitで 2.13.7, 2.14.x前 2.14.4, 2.15.x前 2.15.2, 2.16.x前 2.16.4, および2.17.x以前 2.17.1, リモートでコードが実行される可能性があります. 細工された.gitmodulesファイルを使用, 悪意のあるプロジェクトは、実行中のマシンで任意のスクリプトを実行できます “git clone –recurse-サブモジュール” サブモジュールのため “名前” このファイルから取得されます, その後、$ GIT_DIR/modulesに追加されます, ディレクトリトラバーサルにつながる “../” 名前で. ついに, サブモジュールからのチェックアウト後のフックが実行されます, リモートサーバーからフックが取得されない意図された設計をバイパスする.
Microsoftは最近、Gitが 2.17.1 およびGitforWindows 2.17.1 (2) リリースされたばかりで、必要な修正が含まれています. VisualStudioチームサービス (VSTS) チームはセキュリティの問題を非常に真剣に受け止めています, この脆弱性を修正するために、すべてのユーザーができるだけ早くGitクライアントを更新することをお勧めします, マイクロソフト 言った.
Microsoftは、これらのタイプの悪意のあるリポジトリがVSTSにプッシュされるのをブロックしました. このアクションは、VSTSが悪意を持って作成されたリポジトリを脆弱なシステムに送信するためのベクトルとして悪用されないようにするのに役立ちます。.
GitforWindowsを実行しているユーザーはすぐに ダウンロード 最新バージョン 2.17.1 (2).
加えて, Visual Studio 2017 も現在パッチが適用されており、ホットフィックスがまもなく利用可能になります, マイクロソフトは約束しました.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: