Git 2.38.1 发布,解决安全问题

2022-10-20 發表於 开源资讯

Git 2.38.1 现已发布,同时发布的还有旧版本的更新,包括 v2.30.6、v2.31.5、v2.32.4、v2.33.5、v2.34.5、v2.35.5、v2.36.3 和 v2.37.4。这些维护版本主要是为了解决新发现的两个安全问题 CVE-2022-39253 和 CVE-2022-39260。

第一个与 --local 克隆优化有关,导致从恶意存储库克隆时,$GIT_DIR 中可能出现任意文件。另一个漏洞是关于传递给 git shell 子命令的命令字符串过长,最终可能导致任意堆写入和远程代码执行。

具体为:

  • CVE-2022-39253:当依赖 --local 克隆优化时,Git 会在源仓库中解除对符号链接的引用,然后在目标仓库中创建解除引用链接的 hardlinks(或副本)。这可能会导致 surprising behavior,当从恶意软件库克隆时,任意文件都可能会出现在存储库的“$GIT_DIR”中。Git 将不再通过 --local 克隆机制解除对符号链接的引用,而是拒绝克隆在 $GIT_DIR/objects 目录中下存在符号链接的仓库。此外,protocol.file.allow 的值更改为默认为“user”。
  • CVE-2022-39260:给 git shell 的命令字符串过长可能会导致 split_cmdline() 溢出,当 git shell 被暴露且 $HOME/git-shell-commands 目录存在时,导致任意堆写和远程代码执行。git shell 被教导要拒绝大小超过 4MiB 交互式命令。split_cmdline() 被强化y拒绝大于 2GiB 的输入。

更多详情可查看官方公告。 

 

相關推薦

Git 2.39.1 发布,修复两个安全问题

2023-01-19

Git 发布了维护版本 v2.39.1,以及旧版本维护 v2.38.3、v2.37.5、v2.36.4、v2.35.6、v2.34.6、v2.33.6、v2.32.5、v2.31.6 和 v2.30.7 。这些维护版本是为了解决安全问题 CVE-2022-41903 和 CVE-2022-23521。 CVE-2022-41903: git log 能够使用带有 --format 说

Git for Windows 2.40.1 发布

2023-04-26

Git for Windows v2.40.1 现已发布。这是一个安全版本,解决了 CVE-2023-29012、CVE-2023-29011、CVE-2023-29007、CVE-2023-25815 和 CVE-2023-25652。按照原先的规划,Git for Windows 将在下一个版本中放弃对 Windows 7 和 Windows 8 的支持;同时

Azure 应用服务漏洞造成数万个源码库泄露

2021-12-24

因为它在基于 IIS 的环境中运行。 微软为此采取的具体解决措施为: 更新了所有 PHP 图像以禁止将 .git 文件夹作为静态内容提供,作为纵深防御措施。通知因激活本地部署而受到影响的客户,并提供有关如何缓解问题的具体

全球首发|原生开源大模型托管项目 CSGHub

2024-01-16

与企业功能 应用空间: 支持托管Gradio/Streamlit应用并发布到Space应用空间 细粒度权限:面向企业架构的细粒度权限和访问控制设置 安全合规 资产元数据: 资产的元数据管理机制,支持自定义元数据类型和对应的A

Visual Studio Code 1.69 发布

2022-07-08

Visual Studio Code 1.69 现已发布,一些主要亮点更新包括: 3-way merge editor- 在 VS Code 内解决合并冲突。 合并编辑器允许你快速解决 Git 合并冲突。启用后,可以通过单击源代码控制视图中的冲突文件来打开合并编辑器。Checkboxes&

OpenHarmony 4.0 Beta2

2023-08-09

分支获取源码。可获取该版本分支的最新源码,包括版本发布后在该分支的合入。 repo init -u [email protected]:openharmony/manifest.git -b OpenHarmony-4.0-Beta2 --no-repo-verify repo sync -c repo forall -c 'git lfs pull'   从版本发布Tag节点获取

Git 2.40.1 发布,修复三个安全漏洞

2023-04-26

Git 2.40.1 已发布,修复最新披露的三个新的安全漏洞。这些安全修复也针对之前的稳定系列更新,包括 Git v2.39.3、v2.38.5、v2.37.7、v2.36.6、v2.35.8、v2.34.8、v2.33.8、v2.32.7、v2.31.8和 v2.30.9。 三个 Git 安全漏洞是 CVE-2023-25652、CVE-2023-25815

Visual Studio 2022 17.4 Preview 1 发布

2022-08-24

Visual Studio 2022 17.4 上周发布了首个预览版 (Preview 1)。 下载地址:https://visualstudio.microsoft.com/zh-hans/vs/preview/ 在推出正式版之前,开发团队还会持续添加更多对 Arm64 的支持。 官方表示,Visual Studio 2022 17.4 GA 将是首个正式原生

Rust 1.66.1 发布

2023-01-15

Rust 1.66.1 已发布,这是一个安全补丁更新: 修复了 Cargo 在使用 SSH 克隆依赖项或注册表索引时不验证 SSH 主机密钥的问题。 此安全漏洞的编号为 CVE-2022-46176,所有包含 Cargo 的 Rust 1.66.1 之前的版本都容易受到攻击。 Rust

curl 作者宣布不再向各发行版发送安全漏洞预警

2023-04-01

CI 验证修复。但如果出现了新的安全问题,要赶在版本发布之前测试并修复新问题,48 小时则是一个非常短的时间窗口。 为了有更多的时间来处理漏洞的修复,在新的 curl 安全流程中,如果安全问题是“低严重性或中等严重性

Git for Windows 2.37.0 发布

2022-06-29

Git for Windows 2.37.0 现已发布,主要更新内容如下: New Features 随附 Git v2.37.0。 许多反恶意软件产品似乎在我们的 MSYS2 运行时存在问题,导致运行时出现问题,例如 git subtree。添加了一种变通方法,希望能在大多

DoltgreSQL 发布,基于 Git 的 PostgreSQL

2023-11-03

的解决方案。目前Dolt也已经准备好投入生产。 而当前发布的 DoltSQL 是对 PostgreSQL 的支持。DoltSQL的工作原理是模拟PostgreSQL服务器,并将接收到的命令转换为交给底层Dolt服务器的AST。这使得能够快速启动并运行,同时利用Dolt已

开源代码托管平台 SourceHut “拉黑”Go Module 镜像

2023-01-12

tps://git.sr.ht/~sircmpwn/foobaz/': The requested URL returned error: 429 解决方案: $ export GOPRIVATE=git.sr.ht $ go get # works 有关更多详细信息,请继续阅读。 对于 Go 开发者来说,他们需要通过 git 获取 Go Module,因此开发者使用“git.sr.ht/~sircmpwn

Visual Studio Code 1.74 发布,引入“远程隧道”功能

2022-12-08

VS Code 1.74 已发布,此版本主要带来如下优化: 自定义资源管理器自动显示- 决定哪些文件在资源管理器中滚动到视图中。 隐藏活动栏和面板徽章- 通过切换状态徽章,简化编辑器 UI。 笔记本和差异视图的音频提示- 单元格

熱門推薦