漏洞描述
Git 是一个免费和开源的分布式版本控制系统。
漏洞源于当git使用”--local“(克隆的源和目标位于同一卷上)clone时,git 会在目标存储库创建“dereferenced link ”的硬链接(或拷贝)前
,在源存储库中解引用获得符号链接指向的文件。
这会造成受害者从包含指向受害者机器上敏感信息的符号链接的恶意存储库克隆时,受害者的敏感信息泄露。
| 漏洞名称 | Git 信息泄露漏洞 |
|---|---|
| 漏洞类型 | 信息暴露 |
| 发现时间 | 2022-10-19 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-2022-60488 |
| CVE编号 | CVE-2022-39253 |
| CNVD编号 | - |
影响范围
git@[2.36.0-rc0, 2.36.3)
git@[2.33.0-rc0, 2.33.5)
git@[2.34.0-rc0, 2.34.5)
git@[2.32.0-rc0, 2.32.4)
git@(-∞, 2.30.6)
git@[2.37.0-rc0, 2.37.4)
git@[2.31.0-rc0, 2.31.5)
git@[2.35.0-rc0, 2.35.5)
git@[2.38.0-rc0, 2.38.1)
git/git@(-∞, 2.30.6)
git/git@[2.34.4, 2.34.5)
git/git@[2.31.4, 2.31.5)
git/git@[2.33.4, 2.33.5)
git/git@[2.38.0, 2.38.1)
git/git@[2.32.3, 2.32.4)
git/git@[2.35.4, 2.35.5)
git/git@[2.37.3, 2.37.4)
git/git@[2.36.2, 2.36.3)
修复方案
升级git到 2.30.6、2.31.5、2.32.4、2.33.5、2.34.5、2.35.5、2.36.3、2.37.4、2.38.1 或更高版本
将组件 git/git 升级至 2.37.4 及以上版本
将组件 git/git 升级至 2.36.3 及以上版本
将组件 git/git 升级至 2.30.6 及以上版本
将组件 git/git 升级至 2.34.5 及以上版本
将组件 git/git 升级至 2.31.5 及以上版本
将组件 git/git 升级至 2.33.5 及以上版本
将组件 git/git 升级至 2.38.1 及以上版本
将组件 git/git 升级至 2.32.4 及以上版本
将组件 git/git 升级至 2.35.5 及以上版本
参考链接
https://www.oscs1024.com/hd/MPS-2022-60488
https://github.com/git/git/security/advisories/GHSA-3wp6-j8xr-qw85
情报订阅
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:
https://www.oscs1024.com/cm/?src=osc
具体订阅方式详见:
https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc
