Git爆任意代碼執(zhí)行漏洞，華為云DevCloud提醒開發(fā)者更新客戶端

近期，Git社區(qū)發(fā)現(xiàn)了一個編號為CVE 2018-11235的安全漏洞。由于Git在處理子模塊代碼庫的設(shè)置檔案存在漏洞，導(dǎo)致開發(fā)者可能遭受任代碼執(zhí)行攻擊。目前Git 2.17.1和Windows的2.17.1客戶端軟件版本已經(jīng)發(fā)布，華為云DevCloud建議所有開發(fā)者請盡快升級到這一版本或更高版本，DevCloud已經(jīng)在第一時間更新并修復(fù)了這一漏洞，還采取了進一步安全措施，防止惡意代碼庫被推入到華為云。

CVE 2018-11235安全漏洞是當(dāng)用戶在惡意代碼庫中操作時，可能會受到任意代碼執(zhí)行攻擊。遠程代碼存儲庫包含子模塊定義和數(shù)據(jù)，它們作為文件夾捆綁在一起并提交給父代碼存儲庫。當(dāng)這個代碼倉庫被來回復(fù)制時，Git最初會將父倉庫放到工作目錄中，然后準(zhǔn)備復(fù)制子模塊。但是Git稍后會發(fā)現(xiàn)它不需要復(fù)制子模塊，因為子模塊之前已經(jīng)提交給父存儲庫，它也被寫入工作目錄，這個子模塊已經(jīng)存在于磁盤上。因此Git可以跳過抓取文件的步驟，并直接在磁盤上的工作目錄中使用子模塊。但是并非所有文件都可以被復(fù)制，當(dāng)客戶端復(fù)制代碼庫時，無法從服務(wù)器獲取重要的配置，這包括 .git 或配置文件的內(nèi)容。另外，在Git工作流中的特定位置執(zhí)行的鉤子（如Git）將在將文件寫入工作目錄時執(zhí)行Post-checkout鉤子。不應(yīng)該從遠程服務(wù)器復(fù)制配置文件的一個重要原因就是，遠程服務(wù)器可能提供由 Git 執(zhí)行的惡意代碼。

CVE 2018-11235的漏洞正是犯了這個錯誤，所以Git有子模塊來設(shè)置漏洞。子模塊存儲庫提交給父存儲庫，并且從未實際復(fù)制過。子模塊存儲庫中可能存在已配置的掛鉤，當(dāng)用戶再次出現(xiàn)時，惡意的父庫會被精心設(shè)計。將寫入工作目錄，然后Git讀取子模塊，將這些子模塊寫入工作目錄，最后一步執(zhí)行子模塊存儲庫中的任何Post-checkout掛鉤。為了解決這個問題，Git客戶端現(xiàn)在將更仔細地檢查子文件夾文件夾名稱。包含現(xiàn)在非法的名稱，并且它們不能是符號鏈接，因此這些文件實際上必須存在于.git 中，而不能位于工作目錄中。

華為云DevCloud是作為華為云的組成部分, 是華為30余年研發(fā)實踐和前沿理念的結(jié)晶，為開發(fā)者提供一站式、輕量級的DevOps工具服務(wù)，同時，也是幫助企業(yè)修煉內(nèi)功的一大利器，可以有效支撐企業(yè)DevOps落地，實現(xiàn)項目的高效、高質(zhì)量迭代。未來，華為云DevCloud也將攜手各企業(yè)各開發(fā)者，精誠合作互通，及時響應(yīng)反饋，更好的為廣大開發(fā)者提供穩(wěn)定可靠的DevOps工具，助力軟件企業(yè)專注業(yè)務(wù)創(chuàng)新。

代碼托管（CodeHub）為軟件開發(fā)者提供基于Git的在線代碼托管服務(wù)，包括代碼克隆/下載/提交/推送/比較/合并/分支等功能。（5用戶+500M存儲空間以內(nèi)免費體驗）https://www.huaweicloud.com/product/codehub.html