Il 18 dicembre è stata annunciata una vulnerabilità in git e mecurial.
- Quali sono i dettagli della vulnerabilità?
- Mi influenza?
- Che cosa dovrei fare?
What are the details of the vulnerability?
Git memorizza i metadati del repository in una sottodirectory .git . Ciò include git hook che consentono l'esecuzione di script personalizzati in vari punti del git workflow. Git normalmente non consente il commit di alcun file in questa sottodirectory.
Tuttavia, le sottodirectory come .Git su possono essere impegnate nel repository. Questa vulnerabilità deriva dal fatto che i sistemi operativi con filesystem senza distinzione tra maiuscole e minuscole (come Windows o OS X), considereranno le due sottodirectory ( .Git e .git ) come equivalenti e sovrascriveranno .git con il contenuto di .Git . Ciò comporta che un utente malintenzionato può eseguire codice arbitrario ingannando gli utenti che utilizzano sistemi operativi con file system senza distinzione tra maiuscole e minuscole per clonare un repository pericoloso.
Does it affect me?
La vulnerabilità funziona solo sugli utenti che utilizzano filesystem senza distinzione tra maiuscole e minuscole. Questo include la maggior parte degli utenti di Windows e OS X.
Tirare repository da GitHub è sicuro perché GitHub ora blocchi repository dal contenere l'exploit dannoso.
What should I do?
Come con tutte le nuove vulnerabilità, aggiorna il software interessato. Ciò significa eseguire l'aggiornamento alle versioni v1.8.5.6, v1.9.5, v2.0.5, v2.1.4 e v2.2.1 di git a seconda del ramo di manutenzione che si sta utilizzando.
Leggi altre domande sui tag vulnerability