0°

GitLab 不受 Git 安全漏洞影响 CVE-2014-9390

文章转载开源中国

昨天 Git 爆出一个严重的安全漏洞。该漏洞影响所有官方的 Git 客户端版本,由于是一个客户端的漏洞,因此包括 git.oschina.netGitLab.com, GitLab 社区版和企业版 都不会直接受影响。

该漏洞存在于 Git 和 Git 兼容客户端在访问 Git 仓库的时候,当文件系统的文件名大小写不敏感以及大小写常规化的情况。攻击者可以创建一个恶意的 Git 树,导致在 clone 或者访问呢资源库时本地的 .git/config 目录被直接覆盖。这导致攻击者可以在客户端机器上执行任何命令。目前在 OS X 和 Windows 下的 Git 客户端受此漏洞影响。而 Linux 因为是大小心敏感的文件系统,因此不受影响。

我们强烈建议用户升级 Git 客户端来避免从不被信任的源中克隆资料库。

下面的 Git 升级版本修复了这个漏洞:

  • v1.8.5.6, v1.9.5, v2.0.5, v2.1.4, and v2.2.1

  • Git 开发包 libgit2JGit, 也发布了维护版本来修复这个问题

「点点赞赏,手留余香」

    还没有人赞赏,快来当第一个赞赏的人吧!