Git 存在多个漏洞,开发人员应及时更新

最新推荐文章于 2024-05-27 10:17:21 发布
最新推荐文章于 2024-05-27 10:17:21 发布
阅读量391 收藏
点赞数
文章标签: git java 安全 linux github
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247511361&idx=2&sn=fd59c06ef622ecf1487897f352f65700&chksm=ea949c2bdde3153d3639f25b0209ca0f9b411b4885dc95e5403cb8b45e75b7648abbc5f46747&scene=126&&sessionid=0
版权

54e087349073d4af4d43271193efb21b.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

2bfcf003b02866c81e138885f84aa806.png

Git中存在两个漏洞,其中更严重的 CVE-2022-24765可导致攻击者执行任意命令。Windows 版本和多用户机器上使用的 Git版本面临的风险最大。

77fd7d3ad7df3a7398c88efc7a98d424.png

GitHub 发布安全公告指出, “该漏洞 (CVE-2022-24765)影响在多用户机器上工作的用户,恶意人员可在受害者当前工作目录之上的共享位置中创建 .git 目录。例如,在Windows 上,攻击者可创建 C:\.git\config,导致所有仓库之外发生的git 调用读取其配置的值。由于某些配置变量(如 core.fsmonitor)触发Git 执行任意命令,因此在共享机器上工作时,它可导致任意命令执行。”

GitHub 建议软件开发人员将系统更新至 Git v2.35.2,防止攻击者获得目标系统上的写权限,从而发动攻击。

第二个漏洞 (CVE-2022-24767) 仅影响Windows 版本的Git 卸载器。从 GitHub 发布的安全公告可知,它和第一个缺陷一样,要发动潜在攻击,首先需要某种级别的受陷访问权限。

攻击需要在目标系统上植入恶意 .dll 文件。建议用户更新至 Windows 版Git v2.35.2,但同样可采取一些临时缓解措施。这些漏洞是 Lockheed Martin 的红队研究员发现的。

GitHub 提供了中心化的 Git 仓库位置,标记软件更新要求。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

在线阅读版:《2021中国软件供应链安全分析报告》全文

谷歌和GitHub 联手提出新方法,提振软件供应链安全

GitLab 严重漏洞可用于接管用户账户

GitLab 严重漏洞可导致攻击者窃取runner 注册令牌

逾3万台 GitLab 服务器仍未修复严重漏洞

原文链接

https://portswigger.net/daily-swig/git-security-vulnerabilities-prompt-updates

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

d79eb769374f23fd58d24ee18a741aee.png

4cd819f11da3a72ef33b2b5f003288ff.png

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   da3c6859201f30061a356c5129adbf61.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

奇安信代码卫士
关注
17个提升开发团队效率的方法
AI天才研究院
07-31 3055
程序员、项目经理等从事技术工作的人每天都面临着大量重复性劳动,如沟通协调、分配任务、组织流程、提升团队技能、处理突发事件、创造价值并达成共识。如何更高效地提升开发团队的效率,让每个人都能在工作中获得高效的产出,是每个软件工程师的重要职责之一。软件行业已经成为一个高度竞争的市场,新进的技术人员往往需要花较多的时间去学习新知识和技术,而这些时间其实并不值得。因此,如何更好地整合各项资源,实现各方面的效益最大化,就显得尤为重要。
git信息泄露漏洞
m0_52587327的博客
04-21 3925
目录git信息泄露漏洞危害git介绍确定是否存在泄露获取漏洞的源码GitHack使用例题buu [GXYCTF2019]禁止套娃后记 学习参考 git信息泄露漏洞 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 危害 攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。 git介绍 参考https://blog.csdn.net/xy_su
git泄露漏洞
TItaniumLJA的博客
11-23 5847
git简介 git是一个开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目。当前大量开发人员使用git进行版本控制,对站点自动部署。攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账户密码等,攻击者可能直接控制服务器。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 .git目录 config - 包含一些配置选项 description - 仓库的描述信息,主要给gitweb等git托管系统使用 HEAD - 指定
git泄露漏洞总结
weixin_66839513的博客
04-02 3057
Git泄露是指在使用Git版本控制系统时,由于配置不当或者操作失误,导致敏感信息(如密码、密钥、源代码等)被意外地上传到公开的代码仓库或者其他公开可访问的地方,从而被未授权的人获取到。
Git泄露
cyy001128的博客
04-23 1971
通过git stash存储的修改列表,可以通过git stash list查看,git stash show用于校验,git stash apply用于重新存储,直接执行git stash等同于git stash save,执行 git stash pop 是恢复文件。前几步大致相同,都是用dirsearch扫描是否存在git漏洞,然后打开githack连接,后面则是分为git log,git stash和git index几种。用git reset --hard 回退版本,打开文件夹可找到flag。
git泄露
2401_82388450的博客
04-16 2378
git log --pretty=oneline //加参,简洁查看$ git reflog //查看每一次修改历史$ cat test.txt //查看文件内容$ git status //查看工作区中文件当前状态。
Git-2.41.0-64-bit安装包
07-21
Git是世界上最流行的分布式版本控制系统,它允许开发人员协作开发代码并跟踪每一次更改。Git-2.41.0-64-bit安装包是为64位操作系统设计的最新版本的Git,提供了许多改进和新特性。 Git的核心概念包括仓库、分支、...
Bonobo.Git.Server
06-06
3. 安全更新:关注Bonobo.Git.Server的更新及时打补丁以修复潜在的安全漏洞。 总结,Bonobo.Git.Server为小型团队提供了便捷的本地Git服务器解决方案,它的直观界面和灵活配置使得Git的使用门槛降低,提升了开发...
Git-V2.27.0-64-bit.rar
07-16
因此,及时更新到最新版本对于任何使用Git的项目都是至关重要的,无论是在个人开发还是团队协作中。 安装"Git-2.27.0-64-bit.exe"文件将覆盖或安装Git到你的系统,提供一个本地的Git环境,你可以使用它来克隆、提交...
GitLab任意文件读取漏洞(CVE-2020-10977)POC
01-15
检测脚本
Git曝最危险漏洞,允许攻击者远程执行代码!
CSDN资讯
06-01 4804
一场由Git引发的漏洞危机,影响到的将是社区上的全体开发者。 5月29日,微软Visual Studio Team Services项目经理Edward Thomson在DevOps博客中提到,Git社区最近发现Git存在漏洞,允许黑客在用户的系统上远程执行任意代码。 目前,Git和各种提供Git存储库托管服务的公司开发人员已采取相关措施,以修复在Git源代码版本控制软件中的危险漏洞...
Git严重漏洞,远程执行代码,Mac和Windows通杀!
最新发布
IT界那些事儿
05-27 8302
不得了了,家人们!就在这几天,Git爆出了一个严重漏洞,编号,一个可以远程执行代码的RCE漏洞!攻击者精心准备一个Git项目,只要你尝试去Clone它,你的电脑就能执行攻击代码沦陷。比如下面这个GitHub上面的项目:你可以执行一下下面的命令:不出意外的话,你的电脑将会弹出计算器程序:能让你弹计算器,就能执行其他更危险的操作,比如给你种木马等等。Git是我们程序员基本离不开的工具,这波漏洞操作,属实是对程序员定向打击了。接下来我们来理一理这个漏洞的工作原理是怎么样的。
Git信息泄露漏洞
qq_29566629的博客
05-27 564
对域名进行目录扫描时,如果发现有.git就说明有可能存在git信息泄露。 然后就可以试着使用GitHack(github上有)dump下源码
Git漏洞允许任意代码执行(CVE-2018-17456)复现
weixin_30405421的博客
10-23 479
Git漏洞允许任意代码执行(CVE-2018-17456) 国外安全研究员 joernchen 在 9 月 23 日向 git 官方报告了漏洞的相关细节。10月5日,Git项目披露了一个漏洞,编号为CVE-2018-17456。当用户克隆恶意存储库时,该漏洞可能会导致执行任意代码。 漏洞描述 这个漏洞已被分配 CVE-2018-17456 这个唯一 ID,与之前的 CVE-2017-10001...
Gitlab任意文件读取漏洞cve-2020-10977)
weixin_45006525的博客
04-27 2768
Gitlab任意文件读取漏洞cve-2020-10977) 简介: GitLab 是一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,并在此基础上搭建起来的web服务。GitLab是由GitLabInc.开发,使用MIT许可证的基于网络的Git仓库管理工具,且具有wiki和issue跟踪功能。 在Gitlab 8.5-12.9版本中,存在一处任意文件读取漏洞,攻击者可以利用该漏洞,在不需要特权的状态下,读取任意文件,造成严重信息泄露,从而导致进一步被攻击的风险。 ...
.git 获取git中代码漏洞修复
顽石的专栏
09-25 2063
1. 简介 GitHack 是一个.git泄露利用脚本,利用此漏洞可以下载到目标git中的代码,工作原理如下: 解析.git/index文件,找到工程中所有的: ( 文件名,文件sha1 ) 去.git/objects/ 文件夹下下载对的文件 zlib解压文件,按原始的目录结构写入源代码 2. 下载 GitHack 下载地址: https://github.com/lijiejie/GitHa
.git文件夹信息泄露漏洞利用
ddchggf的博客
08-10 4179
未经授权请勿利用文章中的技术 资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果 和损失,均由使用者本人负责。无意中使用x-ray被动扫描,扫描出了一个git文件信息泄露。...
Yasca: Java开发的漏洞检测工具
10. 源码软件开发:作为一款源码软件,Yasca的发展历程和更新可能在'git'或者其他版本控制系统中进行,让开发者可以跟踪最新动态,贡献代码或报告问题。 Yasca作为一个在Java开发中的漏洞检测工具,对提高安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值