V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jianghu52
V2EX  ›  程序员

请各位开发者尽快升级 Git 客户端版本至 V2.2.1!(转)

  •  
  •   jianghu52 · 2014-12-22 15:46:32 +08:00 · 3406 次点击
    这是一个创建于 3630 天前的主题,其中的信息可能已经有所发展或是发生改变。
    Git 官方近日发布了一条重要的消息,所有版本的 Git 客户端在大小写不敏感的文件系统上均存在安全漏洞,包括 Windows 和 Mac 的客户端。

    攻击者可以通过构造特殊 repo 内容覆盖 Git 的仓库级配置文件 .git/config。因为该漏洞只存在于客户端中,所以网站与企业版都不会受到直接的影响。

    GitCafe 友情提醒,升级到 V2.2.1 等紧急维护版本即可以解决这个问题。

    漏洞!大小写惹的祸?

    这个漏洞源于对大小写不敏感或者不区分大小写的文件系统。比如攻击者可以建立一个恶意的 Git 树使 git/config 被覆盖,从而修改 Git 仓库中的代码。

    OS X (HFS+) 或任何 Windows (NTFS, FAT) 版本的 Git 客户端上都存在这一问题。对于 Linux 客户端,如果它的文件系统对字母大小写敏感,那么它就不受此漏洞的影响。

    不过,GitCafe 必须提醒大家的一点是,即使这个漏洞不会太影响到 Linux 的用户,如果你提供的是托管的服务,而你的用户可能会获取你的服务到 Windows 或者 Mac OS X 机器上,我们强烈地建议你更新以保护还在使用现有 Git 版本的用户。

    所以请使用 Git 的用户和企业尽快更新客户端。同时如果用户访问代码副本托管在不安全或者不受信任主机上的 Git 库时,一定要格外小心。

    Git 官方称,当下托管在网站上的库中是不可能包含恶意程序的,因为在托管时其已经进行了严格的检查。

    Git 官方还建议所有 Git 用户都应该立即更新他们的 Git 应用程序,不仅限于 Windows 和 Mac 用户,网页版用户也同样需要。

    升级到 V 2.2.1

    升级到 V2.2.1 等紧急维护版本可以解决。

    V2.2.0 以后的更改如下:

    Hartmut Henkel (1):

    l10n:de.po: 修复拼写错误
    Jeff King (8):

    unpack-trees: 将错误条目添加到索引
    read-tree: 为混乱的路径 . 和 git 添加测试
    verify_dotfile(): 阻止 .git 不区分大小写
    t1450: 重构 .、. .、.git fsck 测试
    fsck: 注意到 .git 不区分大小写
    use utf8: 添加 is_hfs_dotgit() 的帮助
    读缓存: 选择不允许 HFS +.git 变体
    fsck: 抱怨位于树中的 HFS +.git 别名
    Johannes Schindelin (3):

    路径: 添加 is_ntfs_dotgit() 的帮助
    读缓存: 选择不允许 NTFS.git 变体
    fsck: 抱怨位于树中的 NTFS .git 别名
    以下 Git 版本中不包含该漏洞:

    V1.8.5.6
    V1.9.5(专门针对 Windows 用户)
    V2.0.5
    V2.1.4
    V2.2.1

    PS:以上皆是转载,具体是不是这个问题不知道,反正我这种屌丝也没能力影响公司的git版本,只能自己升级下就算了。
    10 条回复    2014-12-22 22:57:32 +08:00
    xjoker
        1
    xjoker  
       2014-12-22 16:09:55 +08:00
    怪不得我上次clone了一个代码怎么弹出来计算器
    luoyou1014
        2
    luoyou1014  
       2014-12-22 16:16:33 +08:00
    git 网页版用户?
    typcn
        3
    typcn  
       2014-12-22 17:25:57 +08:00
    用的 IDE 插件。。 感觉升级无力,不过项目人数屈指可数,应该没事
    sanddudu
        4
    sanddudu  
       2014-12-22 17:34:35 +08:00 via iPhone
    上周就有人发过这个漏洞了,github 也在上周发出了警告
    是因为英文消息的关注度很低吗
    ryd994
        5
    ryd994  
       2014-12-22 17:35:38 +08:00 via Android
    热烈祝贺楼主火星归来
    jianghu52
        6
    jianghu52  
    OP
       2014-12-22 19:49:18 +08:00
    @ryd994 @sanddudu sorry。我真不知道。不过话又说回来了,英文消息真的我不太关注。鸟语能用,但是专门看还是累
    urmyfaith
        7
    urmyfaith  
       2014-12-22 20:30:01 +08:00
    Terminal里的git也会收到影响么? = =
    boom11235
        8
    boom11235  
       2014-12-22 22:31:05 +08:00
    已更新到2.2.1
    327beckham
        9
    327beckham  
       2014-12-22 22:36:46 +08:00
    有个小疑问,OS X是大小写敏感的吧?
    faceair
        10
    faceair  
       2014-12-22 22:57:32 +08:00
    @327beckham 不敏感
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2545 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 01:13 · PVG 09:13 · LAX 17:13 · JFK 20:13
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.