全部产品

【漏洞公告】Git安全漏洞导致任意代码执行

更新时间:2018-05-31 00:42:10

2018年5月30日,阿里云云盾应急响应中心监测Git开发团队发布安全更新解决远程代码执行漏洞(CVE-2018-11235)。此漏洞为攻击者通过建立一个恶意的Git仓库包含一个精心定制的Git子模块,同时攻击者需要诱骗受害者clone恶意存储库,从而在受害者的系统上执行任意代码。

漏洞详情见下文


漏洞编号

CVE-2018-11235

漏洞名称

CVE-2018-11235:Git安全漏洞导致任意代码执行

官方评级

CVE-2018-11235(高危)

漏洞描述

攻击者通过建立一个恶意的Git仓库包含一个精心定制的Git子模块,同时攻击者需要诱骗受害者clone恶意存储库,从而在受害者的系统上执行任意代码。问题原因为Git客户端在处理此定制的Git子模块导致的。目前大多数如GitHub,Microsoft等主要Git仓库托管服务已经安装了安全补丁。

漏洞利用条件和方式

任意代码执行

受影响版本

  • Git 小于 2.13.7
  • 2.14.x 小于 2.14.4
  • 2.15.x 小于 2.15.2
  • 2.16.x 小于 2.16.4
  • 2.17.x 小于 2.17.1

漏洞修复建议(或缓解措施)

阿里云安全团队建议用户尽快升级Git客户端

  1. Git 2.17.1: https://marc.info/?l=git&m=152761328506724&w=2
  2. Git for Windows 2.17.1 (2): https://github.com/git-for-windows/git/releases/tag/v2.17.1.windows.2

情报来源