漏洞编号:QVD-2024-18126,CVE-2024-32002
公开时间:2024-05-14
漏洞描述:由于Git在支持符号链接的不区分大小写的文件系统上的递归克隆容易受到大小写混淆的影响,未经身份认证的远程攻击者利用该漏洞使受害者克隆操作期间执行刚刚克隆的代码,从而导致远程代码执行。
影响范围:(只影响Windows和Mac系统版本)
git 2.45.0
git 2.44.0
git 2.43.* < 2.43.4
git 2.42.* < 2.42.2
git 2.41.0
git 2.40.* < 2.40.2
git < 2.39.4
临时方案:
1.如果 Git 中禁用了符号链接支持(例如通过 git config --global core.symlinks false),所描述的攻击将不起作用。
2.避免从不受信任的来源克隆存储库。
——2024年5月20日,奇安信 CERT发布安全风险通告。
v23 rc 内测上的 Git 上周已经更新到 2.43.4 了~
https://github.com/linuxdeepin/developer-center/issues/8613
Popular Ranking
Popular Events
中文 
deepin deepin 
translation 
漏洞编号:QVD-2024-18126,CVE-2024-32002
公开时间:2024-05-14
漏洞描述:由于Git在支持符号链接的不区分大小写的文件系统上的递归克隆容易受到大小写混淆的影响,未经身份认证的远程攻击者利用该漏洞使受害者克隆操作期间执行刚刚克隆的代码,从而导致远程代码执行。
影响范围:(只影响Windows和Mac系统版本)
git 2.45.0
git 2.44.0
git 2.43.* < 2.43.4
git 2.42.* < 2.42.2
git 2.41.0
git 2.40.* < 2.40.2
git < 2.39.4
临时方案:
1.如果 Git 中禁用了符号链接支持(例如通过 git config --global core.symlinks false),所描述的攻击将不起作用。
2.避免从不受信任的来源克隆存储库。
——2024年5月20日,奇安信 CERT发布安全风险通告。