Git客戶端中爆出高危漏洞

Git官方近日發布一條重要消息，所有官方版本的Git客戶端都存在高危漏洞，包括GitHub Windows 和Mac客戶端。因為該漏洞只存在于客戶端應用程序中，所以github.com和GitHub企業版不會受到直接的影響。

模糊化大小寫惹得禍

攻擊者會利用客戶端上的這一漏洞還可以訪問對大小寫不敏感或者不區分大小寫的文件系統。在大小寫不敏感的文件系統上運行Git客戶端時，攻擊者會用git/config覆蓋Git/config，從而導致任意命令執行。 OS X（HFS+）或者任何Windows（NTFS,FAT）版本的GitHub客戶端上都存在這一漏洞，也就說都存在被攻擊者攻擊的危險。對于Linux 客戶端，如果它的文件系統對大小寫很敏感，那么它就不會受這一漏洞的影響，但是如果Linux主機服務器上有Windows和OS X使用者，那它還是有可能被攻擊者攻擊。

Git強烈建議GitHub用戶和GItHub企業盡快更新GitHub客戶端；如果訪問或者復制托管在不安全或者不受信任主機上的Git庫時，一定要格外的小心。

當下托管在github.com上的庫中是不可能包含惡意程序的，因為在托管時我們進行了嚴格的檢查以排除這種類型的惡意軟件。在攻擊者沒有發現可用來攻擊的信息之前，GitHub公司已經對所有github.com網站上的內容進行了自動化的掃描，以排除可被攻擊者利用的信息。

官方建議

所有版本的GitHub用戶都應該趕緊更新他們的GitHub應用程序，不僅限于Windows和Mac用戶，網頁版用戶也應該抓緊時間更新應用程序。

以下GitHub版本中不包含該漏洞：

V1.8.5.6
V1.9.5（專門針對Windows用戶）
V2.0.5
V2.1.4
V2.2.1

[參考來源 github.com ，轉載請注明來自Freebuf.COM]