昨天 Git 爆出一个严重的安全漏洞。该漏洞影响所有官方的 Git 客户端版本,由于是一个客户端的漏洞,因此包括 git.oschina.net、GitLab.com, GitLab 社区版和企业版 都不会直接受影响。 该漏洞存在于 Git 和 Git 兼容客户端在访问 Git 仓库的时候,当文件系统的文件名大小写不敏感以及大小写常规化的情况。攻击者可以创建一个恶意的 Git 树,导致在 clone 或者访问呢资源库时本地的 .git/config 目录被直接覆盖。这导致攻击者可以在客户端机器上执行任何命令。目前在 OS X 和 Windows 下的 Git 客户端受此漏洞影响。而 Linux 因为是大小心敏感的文件系统,因此不受影响。 我们强烈建议用户升级 Git 客户端来避免从不被信任的源中克隆资料库。 下面的 Git 升级版本修复了这个漏洞: |
