Git任意代码执行漏洞检测与修复(CVE-2018-11235)

最新推荐文章于 2021-09-23 18:25:38 发布
最新推荐文章于 2021-09-23 18:25:38 发布
阅读量623 收藏 1
点赞数
文章标签: git 运维 操作系统
原文链接:http://blog.51cto.com/355665/2123320
版权

检测漏洞方法

检测漏洞有两种方法:

1.通过查看git客户端版本

git --version

如果版本低于2.13.7肯定存在漏洞
如果版本高于2.13.7请比对下面的版本

版本2.13.x,小于2.13.7则存在漏洞
版本2.14.x ,小于 2.14.4则存在漏洞
版本2.15.x,小于 2.15.2则存在漏洞
版本2.16.x,小于 2.16.4则存在漏洞
版本2.17.x,小于 2.17.1则存在漏洞

2.通过git命令检测

cd /tmp

git init test && cd test && git update-index --add --cacheinfo 120000,e69de29bb2d1d6434b8b29ae775ad8c2e48c5391,.gitmodules
  • 如果只出现下面的提示,证明存在漏洞

“Initialized empty Git repository in /tmp/test/.git/”

  • 如果出现下面的提示,证明漏洞已被修复

“Initialized empty Git repository in /tmp/test/.git/
error: Invalid path '.gitmodules'
fatal: git update-index: --cacheinfo cannot add .gitmodules”

修复漏洞方法

1.Mac OS

  • 通过brew更新git
    不知道brew是什么的请自行搜索
brew install git

如果看到下面的提示,表示你需要强制更新
"Error: The brew link step did not complete successfully
The formula built, but is not symlinked into /usr/local"

  • 强制更新命令:
brew link --overwrite git

更新完毕后,再用上面的方法检测漏洞
如果出现下面的提示,证明漏洞已被修复!!!
“Initialized empty Git repository in /tmp/test/.git/
error: Invalid path '.gitmodules'
fatal: git update-index: --cacheinfo cannot add .gitmodules”

2.CentOS

找了半天,貌似只能通过源码安装,如果有人知道如何yum安装请私信

cd /tmp
wget https://www.kernel.org/pub/software/scm/git/git-2.17.1.tar.gz
tar zxf git-2.17.1.tar.gz
cd git-2.17.1
sudo ./configure
sudo make
sudo make install

3.Ubuntu

sudo add-apt-repository ppa:git-core/ppa
sudo apt update
sudo apt install git

4.Windows

https://gitforwindows.org/ 可以下载

参考文档

https://www.edwardthomson.com/blog/upgrading_git_for_cve2018_11235.html
http://blog.nsfocus.net/cve-2018-11235/
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11235

转载于:https://blog.51cto.com/355665/2123320

weixin_34018202
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
漏洞复现-splunk-信息泄露】vulfocus/splunk-cve_2018_11409
10-15 2138
【splunk-信息泄露】
CentOS 6和RHEL 6发布重要内核安全更新
Listen2You的博客
11-07 647
导读 CentOS维护人员Johnny Hughes和Red Hat宣布为CentOS Linux 6和Red Hat Enterprise Linux 6操作系统系列提供重要的Linux内核安全更新,以解决两个漏洞。 根据RHSA-2018:2846和 CESA-2018:2846安全建议,红帽安全团队将新内核安全更新标记为“重要”,因为它修补了两个安全漏洞CVE-2018-5391...
Linux6.8 ssh开启,CentOS7.6 升级 openssh 升级为 8.0
weixin_31936127的博客
05-14 169
CentOS7.6升级SSH升级为8.0近期对生产服务器进行了渗透及安全测试,检查出ssh存中危漏洞需要修复,该漏洞需要升级 openssh 到 8 版本漏洞描述:国家漏洞库编号:CNNVD-201808-902CNCVE编号:CNCVE-201815919CVE编号:CVE-2018-15919漏洞描述:OpenSSH(OpenBSD Secure Shell)是OpenBSD计划组所维护的一套...
11235java代码递归实现_Git爆严重漏洞CVE-2018-11235:递归 clone可致任意代码执行
weixin_35960357的博客
02-27 122
0x00 概述今日gitgit for window相继发布最新版本Git 2.17.1、Git for Windows 2.17.1,主要用于解决git一个严重漏洞CVE-2018-11235。该漏洞允许在运行'git clone --recurse-submodules'(或已弃用的gi tclone --recursive)时实现任意代码执行。恶意仓库可以包含指向仓库外部的.git ...
安全漏洞干货-linux漏洞修复命令
明哥哥知识分享
09-23 774
1、漏洞名称:RHSA-2019:2197: elfutils security,bug fix,和 enhancement update 修复命令:yum update elfutils-default-yama-scope -y &&yum update elfutils-libelf -y &&yum update elfutils-libs -y cve编号:CVE-2018-16062,CVE-2018-16402,CVE-2018-16403,CVE-2018-1
CVE-2018-11235-DEMO
05-14
CVE-2018-11235 用法 chybeta@ubuntu ~> git clone ...chybeta@ubuntu ~/CVE-2018-11235-DEMO> /usr/local/bin/git --version git version 2.17.0 chybeta@ubuntu ~/CVE-2018-11235-DEMO> ./build.sh 分析
CVE-2018-8120-Webshell下可用版本提权
07-16
攻击者可利用该漏洞在内核模式下以提升的权限执行任意代码。 2 漏洞标识符 CVE ID: CVE-2018-8120 3 影响系统 受影响系统: Microsoft Windows 7 SP1 Windows Server 2008 SP2 Windows Server 2008 R2 SP1 ...
Jenkins Git client插件命令执行漏洞(CVE-2019-10392)1
08-04
Jenkins Git client插件命令执行漏洞(CVE-2019-10392)Jenkins Git client插件命令执行漏洞(CVE-2019-10
CVE-2020-11651:CVE-2020-11651
04-15
适用于未分散盐版本的安装git clone https://github.com/0xc0d/CVE-2020-11651.git ~/CVE-2020-11651chmod +x ~/CVE-2020-11651/PoC.py用法$ ~/CVE-2020-11651/PoC.py -husage: PoC.py [-h] --host HOST [--port ...
git信息泄露漏洞
qq_50854662的博客
09-09 1002
git信息泄露漏洞 当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,可能会将.git文件夹直接部署到线上环境。这就引起了git泄露漏洞。 危害 攻击者可以利用该漏洞下载git文件夹里的所有内容。如果文件夹内有敏感信息比如站点源码、数据库账...
linux sudo漏洞修复,LINUX SUDO 权限提升漏洞修复
weixin_42389421的博客
05-16 418
1、最近RedHat官方发布了sudo 缓冲区/栈溢出漏洞的风险通告,普通用户可以通过利用此漏洞,而无需进行身份验证,成功获取root权限。由于我们服务器是物理机,放在客户积分客户也要求我们升级。漏洞编号: CVE-2021-3156 高危sudo受影响的版本包括: 1.8.2到1.8.31p2的版本 1.9.0到1.9.5p1的稳定版本 操作系统受影响的版本包括: CentO...
阿里云Linux服务器漏洞修复记录2020/09/24
u010148324的博客
09-24 1386
CVE-2017-7895 Linux kernel NFSv2和NFSv3服务器安全绕过漏洞 yum update kernel yum update kernel-devel yum update kernel-firmware yum update kernel-headers CVE-2017-11176 9.8 Linux kernel 'mq_notify'内存错误引用漏洞 CVE-2017-7542 5.5 Linux kernel 'ip6_find_1stfragopt'函数本地拒绝服务
iMac终端HomeBrew无法使用
weixin_34268843的博客
11-12 100
错误代码: bash-3.2# brew update Initialized empty Git repository in /usr/local/.git/ remote: Counting objects: 1163, done. remote: Compressing objects: 100% (1067/1067), done. remote...
Git命令:git update-index
业精于勤-行成于思
09-16 9892
Git命令:git update-index 语法: git update-index [--add] [--remove | --force-remove] [--replace] [--refresh] [-q] [--unmerged] [--ignore-missing] [(--cacheinfo <mode>...
GITgit update-index命令忽略已经在版本控制并已提交过的文件
allen的博客
05-28 1万+
场景: 开发的时候,我们可能需要的开发环境部分配置跟测试及生产环境不一样,如数据库配置,需要手动修改,又不想把修改过的配置文件提交,这时候只需要用到下边的命令。 具体操作如下: 在命令行中输入 git update-index --assume-unchanged [file-path] 命令中的file-path 就是需要忽略提交的文件的路径,只对文件有效。 如果需要恢复提交,使用...
git clone 某个链接时候报错Initialized empty Git repository in 不能克隆
热门推荐
qq_37347705的博客
08-30 4万+
查看下是不是git是不是1.7.1版本。 使用 yum -y update 更新一下。 再使用git clone 虽然还是会提示这个报错,但是可以克隆了。亲测有效。 git版本是1.7.1 linux版本是Linux version 2.6.32-504.el6.x86_64 centos ...
.git 获取git代码漏洞修复
顽石的专栏
09-25 2010
1. 简介 GitHack 是一个.git泄露利用脚本,利用此漏洞可以下载到目标git中的代码,工作原理如下: 解析.git/index文件,找到工程中所有的: ( 文件名,文件sha1 ) 去.git/objects/ 文件夹下下载对应的文件 zlib解压文件,按原始的目录结构写入源代码 2. 下载 GitHack 下载地址: https://github.com/lijiejie/GitHa
GitHack针对.git漏洞以及修复
seapeak007的博客
04-25 1767
GitHack是一个 .git 文件夹公开漏洞。 它在保持目录结构不变的同时从. git 文件夹重建源代码。 解析.git/index文件,找到工程中所有的:( 文件名,文件sha1) GitHack的使用: 1、下载https://github.com/lijiejie/GitHack 2、到本地文件中执行python 脚本 切换到GitHack的路径下 cd ...
CVE-2018-11219
最新发布
07-29
- *1* [Git任意代码执行漏洞检测修复(CVE-2018-11235)](https://blog.csdn.net/weixin_34018202/article/details/92124369)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值