0x00 概述

今日git 和git for window相繼發(fā)布最新版本Git 2.17.1、Git for Windows 2.17.1主要用于解決git一個嚴重(非史詩級)漏洞CVE-2018-11235。

該漏洞允許在運行'git clone --recurse-submodules'(或已棄用的'git clone --recursive')時可實現(xiàn)任意代碼的執(zhí)行。惡意倉庫包含指向倉庫外部的.git modules子模塊配置文件。 當git clone這樣的倉庫時,它可以被誘騙到clone子模塊內(nèi)(非.git目錄)的hook,從而實現(xiàn)任意代碼執(zhí)行。

0x01 bug詳解

當Git倉庫包含子模塊時,為了編譯項目管理,子模塊的倉庫結(jié)構(gòu)與.git文件夾內(nèi)的父級倉庫結(jié)構(gòu)可以存在一起。子模塊的倉庫結(jié)構(gòu)通常存儲在與子模塊名稱相同的文件夾中,但此文件夾的名稱可由父倉庫中的文件配置。

問題版本的git允許配置中包含不一定屬于.git目錄的路徑。導致攻擊者可以精心設計創(chuàng)建一個擁有另一個Git倉庫的父倉庫,作為該父倉庫內(nèi)的一個文件夾。然后,該倉庫可以作為子模塊添加到父倉庫。該子模塊的位置可以配置非.git文件夾,指向父倉庫本身內(nèi)的簽入倉庫。

當遞歸clone這個父倉庫時,Git會檢查已配置的子模塊,然后查找存儲該子模塊庫的位置。它將遵循父倉庫本身的配置,檢入倉庫。該操作用于檢出子模塊,由于沒有特殊過濾導致該檢入倉庫中的任何hook腳本都可運行。

因此,攻擊者可以將這個倉庫配置與一個惡意的post-checkout腳本捆綁在一起,當對該倉庫遞歸clone是就會觸發(fā)執(zhí)行。

0x11漏洞影響

0x1101 Git托管商

由于,實際中大多數(shù)人依賴托管服務提供商(比如Github)來存儲代碼,因此通過服務托管商配置就可簡單地阻止問題倉庫,防止漏洞擴散。據(jù)悉目前 Visual Studio Team Services、GitLab和Github都是會主動阻止任何試圖在.git目錄之外設置git子模塊的倉庫。

0x1102 Git客戶端

阻止托管提供程序中的惡意倉庫會關(guān)閉攻擊媒介源,但是不排除有其他的托管商以及其他惡意利用的途徑(比如假冒個github站點)。所以蟲蟲建議盡快升級git客戶端。

0x12漏洞檢測

漏洞的檢查也非常加單,你可以通過如下腳本來檢查git是否存在問題:

新建一個臨時目錄運行它:

mkdir chongchongtemp && cd chongchongtemp

git init test && \

cd test && \

git update-index --add --cacheinfo 120000,e69de29bb2d1d6434b8b29ae775ad8c2e48c5391,.gitmodules

注意:該命令不會將克隆任何倉庫,也沒有任何危險的指令。

如果顯示為:

error: Invalid path '.gitmodules'fatal: git update-index: --cacheinfo cannot add .gitmodules

則你的git版本不受該漏洞影響。

如果你的git顯示,以下信息,并且創(chuàng)建一個空倉庫,那么你的版本有問題。

0x13漏洞解決

windows:

從gitforwindows獲取最新版本的Git for Windows(2.17.1版)。

macOS

蘋果通過用Xcode發(fā)布Git,但是有定期更新機制。因此,你需要第三方的包管理器來實現(xiàn)升級。 在此建議你使用Homebrew包管理器。

如果你還沒有安裝Homebrew,你需要首先安裝。

然后,你可以使用Homebrew來更新git:

brew update git

Linux(Debian,Ubuntu)

如果你使用的發(fā)行版為Ubuntu或Debian,可能很快就會有更新包發(fā)布,請注意更新。

Redhat,CentOS下:

sudo yum update git

Debian,Ubuntu下:

sudo apt-get update git

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/