请各位开发者尽快升级 Git 客户端版本至 V2.2.1!(转)

2014-12-22 15:46:32 +08:00
 jianghu52
Git 官方近日发布了一条重要的消息,所有版本的 Git 客户端在大小写不敏感的文件系统上均存在安全漏洞,包括 Windows 和 Mac 的客户端。

攻击者可以通过构造特殊 repo 内容覆盖 Git 的仓库级配置文件 .git/config。因为该漏洞只存在于客户端中,所以网站与企业版都不会受到直接的影响。

GitCafe 友情提醒,升级到 V2.2.1 等紧急维护版本即可以解决这个问题。

漏洞!大小写惹的祸?

这个漏洞源于对大小写不敏感或者不区分大小写的文件系统。比如攻击者可以建立一个恶意的 Git 树使 git/config 被覆盖,从而修改 Git 仓库中的代码。

OS X (HFS+) 或任何 Windows (NTFS, FAT) 版本的 Git 客户端上都存在这一问题。对于 Linux 客户端,如果它的文件系统对字母大小写敏感,那么它就不受此漏洞的影响。

不过,GitCafe 必须提醒大家的一点是,即使这个漏洞不会太影响到 Linux 的用户,如果你提供的是托管的服务,而你的用户可能会获取你的服务到 Windows 或者 Mac OS X 机器上,我们强烈地建议你更新以保护还在使用现有 Git 版本的用户。

所以请使用 Git 的用户和企业尽快更新客户端。同时如果用户访问代码副本托管在不安全或者不受信任主机上的 Git 库时,一定要格外小心。

Git 官方称,当下托管在网站上的库中是不可能包含恶意程序的,因为在托管时其已经进行了严格的检查。

Git 官方还建议所有 Git 用户都应该立即更新他们的 Git 应用程序,不仅限于 Windows 和 Mac 用户,网页版用户也同样需要。

升级到 V 2.2.1

升级到 V2.2.1 等紧急维护版本可以解决。

V2.2.0 以后的更改如下:

Hartmut Henkel (1):

l10n:de.po: 修复拼写错误
Jeff King (8):

unpack-trees: 将错误条目添加到索引
read-tree: 为混乱的路径 . 和 git 添加测试
verify_dotfile(): 阻止 .git 不区分大小写
t1450: 重构 .、. .、.git fsck 测试
fsck: 注意到 .git 不区分大小写
use utf8: 添加 is_hfs_dotgit() 的帮助
读缓存: 选择不允许 HFS +.git 变体
fsck: 抱怨位于树中的 HFS +.git 别名
Johannes Schindelin (3):

路径: 添加 is_ntfs_dotgit() 的帮助
读缓存: 选择不允许 NTFS.git 变体
fsck: 抱怨位于树中的 NTFS .git 别名
以下 Git 版本中不包含该漏洞:

V1.8.5.6
V1.9.5(专门针对 Windows 用户)
V2.0.5
V2.1.4
V2.2.1

PS:以上皆是转载,具体是不是这个问题不知道,反正我这种屌丝也没能力影响公司的git版本,只能自己升级下就算了。
3421 次点击
所在节点    程序员
10 条回复
xjoker
2014-12-22 16:09:55 +08:00
怪不得我上次clone了一个代码怎么弹出来计算器
luoyou1014
2014-12-22 16:16:33 +08:00
git 网页版用户?
typcn
2014-12-22 17:25:57 +08:00
用的 IDE 插件。。 感觉升级无力,不过项目人数屈指可数,应该没事
sanddudu
2014-12-22 17:34:35 +08:00
上周就有人发过这个漏洞了,github 也在上周发出了警告
是因为英文消息的关注度很低吗
ryd994
2014-12-22 17:35:38 +08:00
热烈祝贺楼主火星归来
jianghu52
2014-12-22 19:49:18 +08:00
@ryd994 @sanddudu sorry。我真不知道。不过话又说回来了,英文消息真的我不太关注。鸟语能用,但是专门看还是累
urmyfaith
2014-12-22 20:30:01 +08:00
Terminal里的git也会收到影响么? = =
boom11235
2014-12-22 22:31:05 +08:00
已更新到2.2.1
327beckham
2014-12-22 22:36:46 +08:00
有个小疑问,OS X是大小写敏感的吧?
faceair
2014-12-22 22:57:32 +08:00
@327beckham 不敏感

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/155755

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX