分散式版块截止软件Git建设而已实施粗疏，官方敦促尽快升级

IT之家 5 月 31 日音信，Git 分散式版块截止系统还是发布新版块，伏击建设了 5 个安全粗疏，其中最“要津”的粗疏跟踪编号为 CVE-2024-32002，不错在“clone”操作中而已实施代码。

IT之家注：Git 是一个分散式版块截止软件，当先由林纳斯・托瓦兹创作，于 2005 年以 GPL 许可条约发布。当先主义是更好地处置 Linux 内核蛊惑而筹办。

CVE-2024-32002 粗疏蹧蹋力很大，黑客通过制作寥落的 Git 仓库子模块，不错诈欺 Git Git 将文献写入 .git/ 目次，而不是子模块的责任树。

这么一来，抨击者不错植入坏心的钩子剧本，期权交易在克隆操作仍在进行时即被实施，用户果真无法事前检查行将实施的代码。

在 Windows 上实施 PoC

在 Mac 上实施 PoC

这主若是因为 Git 文献系统扶助标志联结（symlinks）且不离别大小写，在递归克隆容易受到大小写污染的影响，未经身份认证的而已抨击者期骗该粗疏使受害者克隆操作时辰实施刚刚克隆的代码，从而导致而已代码实施。

官方安全公告指出，禁用 Git 中的标志联结扶助（举例，通过 Git config --global core.symlinks false）不错隔绝此抨击。

这些粗疏已在 Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2 和 v2.39.4 中获得修补，如果用户面前使用以下影响版块，请尽快升级：

Git 2.45.0

Git 2.44.0

Git 2.43.* < 2.43.4

Git 2.42.* < 2.42.2

Git 2.41.0

Git 2.40.* < 2.40.2

Git < 2.39.4

只影响 Windows 和 Mac 系统

• 软件
• 板块
• 戒指
• Git
• 分散