Git爆漏洞 华为云提醒开发者更新客户端

近期，Git社区发现了一个编号为CVE 2018-11235的安全漏洞。由于Git在处理子模块代码库的设置档案存在漏洞，导致开发者可能遭受任代码执行攻击。目前Git 2.17.1和Windows的2.17.1客户端软件版本已经发布，华为云DevCloud建议所有开发者请尽快升级到这一版本或更高版本，DevCloud已经在第一时间更新并修复了这一漏洞，还采取了进一步安全措施，防止恶意代码库被推入到华为云。

CVE 2018-11235安全漏洞是当用户在恶意代码库中操作时，可能会受到任意代码执行攻击。远程代码存储库包含子模块定义和数据，它们作为文件夹捆绑在一起并提交给父代码存储库。当这个代码仓库被来回复制时，Git最初会将父仓库放到工作目录中，然后准备复制子模块。但是Git稍后会发现它不需要复制子模块，因为子模块之前已经提交给父存储库，它也被写入工作目录，这个子模块已经存在于磁盘上。因此Git可以跳过抓取文件的步骤，并直接在磁盘上的工作目录中使用子模块。但是并非所有文件都可以被复制，当客户端复制代码库时，无法从服务器获取重要的配置，这包括 .git 或配置文件的内容。另外，在Git工作流中的特定位置执行的钩子（如Git）将在将文件写入工作目录时执行Post-checkout钩子。不应该从远程服务器复制配置文件的一个重要原因就是，远程服务器可能提供由 Git 执行的恶意代码。

CVE 2018-11235的漏洞正是犯了这个错误，所以Git有子模块来设置漏洞。子模块存储库提交给父存储库，并且从未实际复制过。子模块存储库中可能存在已配置的挂钩，当用户再次出现时，恶意的父库会被精心设计。将写入工作目录，然后Git读取子模块，将这些子模块写入工作目录，最后一步执行子模块存储库中的任何Post-checkout挂钩。为了解决这个问题，Git客户端现在将更仔细地检查子文件夹文件夹名称。包含现在非法的名称，并且它们不能是符号链接，因此这些文件实际上必须存在于.git 中，而不能位于工作目录中。

华为云DevCloud是作为华为云的组成部分, 是华为30余年研发实践和前沿理念的结晶，为开发者提供一站式、轻量级的DevOps工具服务，同时，也是帮助企业修炼内功的一大利器，可以有效支撑企业DevOps落地，实现项目的高效、高质量迭代。未来，华为云DevCloud也将携手各企业各开发者，精诚合作互通，及时响应反馈，更好的为广大开发者提供稳定可靠的DevOps工具，助力软件企业专注业务创新。

代码托管（CodeHub）为软件开发者提供基于Git的在线代码托管服务，包括代码克隆/下载/提交/推送/比较/合并/分支等功能。（5用户+500M存储空间以内免费体验）https://www.huaweicloud.com/product/codehub.html