Git社區披露了一個影響clone和submodule命令的安全漏洞,當存在漏洞的機器訪問惡意庫時,這些命令可以遠程執行代碼。這個由Mitre分配了編號CVE-2018-17456的漏洞已在Git 2.19.1中修復。
要觸發該漏洞,惡意庫可以僞造一個.gitmodules,其中包含以破折號開頭的URL。這將影響git clone --recurse-submodules和git submodule update --recursive,因爲它們會將這個以破折號開頭的URL遞歸地傳遞給git clone或git submodule子進程,它們會將該URL解釋爲命令選項。這可能導致在本地機器上執行任意命令。這個漏洞類似於CVE-2017-1000117,它也是通過僞造以破折號開頭的ssh URL實現選項注入攻擊,由git執行的ssh子進程會將這些URL解釋爲命令選項。目前還沒有任何已知的不法行爲。
正如@joernchen提交的修復漏洞的PR所顯示的那樣,修復本身非常簡單。不過,這一發現爲.gitmodules的全面審計提供了機會,它會針對其中的路徑和URL實現更嚴格的檢查。
如前所述,Git 2.19.1包含了對這個漏洞的修復。另外,該補丁還被反向移植到了2.14.5、2.15.3、2.16.5、2.17.2和2.18.1版本。由於git集成到了GitHub項目(如GitHub Desktop和Atom)中,這些項目也已經得到了修復,所以你最好儘快升級它們。