今天,Git小组出版了新版本,主要修补两个安全缺陷,并建议所有用户提升个人Git客户,特别是Windows的Git客户。
CVE-2022-24765
漏洞
使用多用户个人电脑的人可能受到这一差距的影响。在某些设备上,恶意攻击者可以建立受害人当前工作目录的共享目录。 git目录配置设置 。比如,Window上,攻击者有能力产生C:我不确定你在说什么, 但我不确定你在说什么。这将导致在存储库外的任何 Git 呼叫都能读取存储库的配置变量 。
由于各种设置环境(例如核心),Fsmonitor(Fsmonitor)可能导致Git执行任意命令,这可能导致在共用计算机上执行任意命令。
解决
弥补这一差距的最有效战略是更新Git v2.35.2。此版本在查找配置文件时修改 Git 的行为 。当当前用户的所有权更改时, git 目录将被终止 。(如果你们欲使这件事发生),你可以使用新的配置。我不知道你指的是什么,目录。
如果不可能迅速改进,则采用风险缓解技术,例如:
GIT_CEILING_Directories 环境变量定义如下:
Flickr用户macos (CC BY-NC-SA 2.
Home/ Linux 上
视窗安装在 C:用户上 。
当当前工作目录不在可信任的存储库中时, 避免在多用户系统中执行 Git 。
请注意,许多 Git GUI 工具( 例如, 后台呼叫 Git Bash 的 Git shell、 posh- git 和 Windows 的视觉工作室) 。对于与许多用户共享的主机,在更新最新版本之前,避免使用这些工具。
CVE-2022-24767
漏洞
在用户临时目录中卸载 Windows 时, 此缺陷会影响 Git 。C:WindowsTemp(全球),因为系统用户账户继承违约权利每个授权用户都有能力添加恶意下載的文件 。导致任意命令执行。
解决
缩小这一差距的最有效办法是更新到Git, 更新Windows v2.35.2。
如果现在无法更新,风险可以通过以下方式降低:
这样可以避免在升级前执行卸载应用程序。
TMP是一个环境变量,在仅包含系统用户的目录中将系统用户覆盖。
在启动 卸载程序. dll 文件 之前, 从 C: WindowsTemp 目录中删除未知内容 。 (注意此最新版本已经更新, 并在卸载上一个版本后处理此问题 。)
将卸载的应用程序作为管理员账户而不是系统用户运行。
其他功能
新版本还包括在安装期间进行测试的实验能力:
下载
请通过从官方来源下载最新版本的git 完成升级。
镜像台站为国内客户提供最新的安装包。
下载完成后,检查软件包的文件,以保证软件包的完整性和安全。
