感谢IT之家网友 xiaoxing365 的萍踪送达！九玩游戏中心官网

IT之家 5 月 31 日音讯，Git 分散式版块礼貌系统依然发布新版块，伏击拓荒了 5 个安全破绽，其中最“关键”的破绽跟踪编号为 CVE-2024-32002，不错在“clone”操作中辛勤履行代码。

IT之家注：Git 是一个分散式版块礼貌软件，领先由林纳斯・托瓦兹创作，于 2005 年以 GPL 许可条约发布。领预知地是更好地措置 Linux 内核开发而缱绻。

CVE-2024-32002 破绽自便力很大，黑客通过制作稀奇的 Git 仓库子模块，不错糊弄 Git Git 将文献写入 .git/ 目次，而不是子模块的使命树。

这么一来，症结者不错植入坏心的钩子剧本，在克隆操作仍在进行时即被履行，用户着实无法事前查验行将履行的代码。

在 Windows 上履行 PoC

这主如果因为 Git 文献系统搭救象征贯穿（symlinks）且不分裂大小写，在递归克隆容易受到大小写禁止的影响，未经身份认证的辛勤症结者欺诈该破绽使受害者克隆操作时候履行刚刚克隆的代码，从而导致辛勤代码履行。

官方安全公告指出，禁用 Git 中的象征贯穿搭救（举例，通过 git config --global core.symlinks false）不错壅塞此症结。

这些破绽已在 Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2 和 v2.39.4 中获得修补，如果用户现时使用以下影响版块，请尽快升级：

Git 2.45.0

Git 2.44.0

Git 2.43.* < 2.43.4

Git 2.42.* < 2.42.2

Git 2.41.0

Git 2.40.* < 2.40.2

Git < 2.39.4

只影响 Windows 和 Mac 系统

参考

CVE-2024-32002: Exploiting Git RCE via git clone

Critical Git vulnerability allows RCE when cloning repositories with submodules (CVE-2024-32002)九玩游戏中心官网