[弱點警示] 著名的版本控管軟體-Git發現重大弱點!

近期Git Project公告一重大弱點,編號為CVE-2018-17456,其安全漏洞評分系統CVSS v3高達8.8分(最高為10分),無論對於系統的機密性、完整性與可用性都會產生重大的影響,且駭客僅需透過網路即可實現相關攻擊,提醒若有使用Git產品應特別注意。

弱點主要發生在將儲存庫(Repository, Repo.)複製回本機,當使用者執行複製(Clone)指令,將含有惡意程式碼的儲存庫複製回本機端時,可能在無意間同時執行了未預期的惡意程式碼。該弱點與Git Submodules工具相關,Submodules主要是讓用戶在自行開發的專案中,引入並使用外部專案或函式庫。當使用的第三方程式碼變更時,掛載的專案內容也將同步更新。該弱點允許惡意儲存庫透過.gitmodules檔案,指向一開頭含有“-”的遠端儲存庫,當使用者使用git clone --recurse-submodulesgit submodule update指令時,即會執行該專案中的任意程式碼。

隨後,Git Project已發布Git v2.19.1用以修復該弱點,同時發布了其他先前版本的修正程式,如v2.14.5、v2.15.3、v2.16.5、v2.17.2及v2.18.1。針對已更新的版本中,Git Project對.gitmodules檔案進行檢查,加強限制條件來避免類似的脆弱點產生在程式碼中,也導入偵測機制用以察覺潛在惡意功能的Submodules。除此之外,GitHub.com及GitHub Enterprise並未遭受此弱點的影響,目前上述原始碼代管服務均可偵測具危害性的儲存庫,且會拒絕對其執行上傳(Push)或API的相關請求。三甲科技強烈建議大家確認所屬單位內的用戶狀況,若有使用早於上述版本之Git程式,應立即更新以保護系統安全。

[受影響之應用程式及建議措施]

  • Git v2.13、v2.13.1、v2.13.2、v2.13.3、v2.13.4、v2.13.5、v2.13.6、v2.14、v2.14.1、v2.14.2、v2.14.3、v2.14.4、v2.15、v2.15.1、v2.15.2、v2.16、v2.16.3、v2.16.4、v2.17、v2.17.1、v2.18、v2.19及之前版本(僅影響Unix-like平台),建議更新至v2.14.5、v2.15.3、v2.16.5、v2.17.2、v2.18.1及v2.19.1。
  • GitHub桌機版1.4.1及之前版本,建議更新至1.4.2及1.4.3-beta0。
  • Atom文字編輯器(含Windows、MacOS及Linux三種版本),建議更新至1.31.2及1.32.0-beta3。
  • 除建議更新Git主程式外,亦建議更新其他內嵌有Git功能的應用程式或開發平台。

生手小知識-Git是什麼?

Git是一款分散式版本控制系統,同時是免費的開源工具,能使電腦工程師方便管理每一次更新的程式碼檔案,也能達到有效備份。平時我們可能利用檔名來區別不同時間完成的專案內容,如此能達到備份但卻無法善用這些檔案,而Git能幫我們達到此目的。好比說你今天想要查看A專案每次的變更狀況,Git會標示出內容的差異度,使你清楚分辨每一次的完成進度,因而能準確的掌握專案。

————————————————————————————-

參考資料
1. The GitHub Blog https://blog.github.com/2018-10-05-git-submodule-vulnerability/
2. CVE公告 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-17456
3. Git Submodule介紹與使用 https://blog.wu-boy.com/2011/09/introduction-to-git-submodule/
4. 使用Git Submodule管理子模塊 https://segmentfault.com/a/1190000003076028
5. Git工具 https://git-scm.com/book/zh-tw/v1/Git-%E5%B7%A5%E5%85%B7-%E5%AD%90%E6%A8%A1%E7%B5%84-Submodules
6. Git現重大漏洞,Atom也波及,儘快打補丁! https://t.cj.sina.com.cn/articles/view/6533357275/1856b1edb00100gdg2
7. Git專案修補遠端程式攻擊漏洞,不只GitHub桌面版軟體,連Atom都遭殃 https://www.ithome.com.tw/news/126318
8. RedHat弱點公告 https://access.redhat.com/security/cve/cve-2018-17456
9. SuSE弱點公告 https://www.suse.com/security/cve/CVE-2018-17456/
10. SecurityFocus弱點公告 https://www.securityfocus.com/bid/105523
11. git https://git-scm.com/book/zh-tw/v2
12. 什麼是 Git?為什麼要學習它? https://gitbook.tw/chapters/introduction/what-is-git.html

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。