原本為了GitHub開發者可以控管大型檔版本的外掛程式Git LFS,研究人員發現,Git LFS出現了一個漏洞,駭客可以輸入ssh:// 網址來執行任何shell指令,取得管理權限。
【資訊產品漏洞】Git於運行'ssh://'URL之缺陷讓駭客可用遠端方式針對目標系統上執行任意命令(Execute Arbitrary Commands)
●概述:
Git近日提報了一個漏洞,駭客可利用特殊的”ssh://”網址針對目標用戶的系統執行任意shell命令,在執行代碼時將可提升為管理者權限,並在執行”clone”指令時觸發此漏洞。
●編註:
Git已修復了此漏洞,可至此處查看相關記事。
http://blog.recurity-labs.com/2017-08-10/scm-vulns
●受影響之版本
Linux(Any)
●解決辦法:
官方已發布修復漏洞,連結為
http://blog.recurity-labs.com/2017-08-10/scm-vulns
更多【資訊產品漏洞】請參考
https://www.twcert.org.tw/twcert/advistory
Search