今天，Git項目發(fā)布了新版本，解決了兩個安全漏洞。
GitHub不受這些漏洞的影響。但是，您應(yīng)該注意這些問題并升級Git的本地安裝，特別是如果您在Windows中使用Git，或者在多用戶機器上使用Git。

CVE-2022-24765

此漏洞會影響在多用戶機器上工作的用戶，其中惡意參與者可能會在受害者當(dāng)前工作目錄的共享位置上創(chuàng)建.git目錄。例如，在Windows上，攻擊者可以創(chuàng)建C:\。這將導(dǎo)致所有發(fā)生在存儲庫之外的Git調(diào)用讀取其配置的值。

因為一些配置變量(比如core.fsmonitor)會導(dǎo)致Git執(zhí)行任意命令，所以當(dāng)在共享機器上工作時，這可能會導(dǎo)致執(zhí)行任意命令。

保護(hù)該漏洞的最有效方法是升級到Git v2.35.2。這個版本改變了Git尋找頂級目錄的行為，當(dāng)它的目錄遍歷改變了當(dāng)前用戶的所有權(quán)時停止。(如果您希望對此行為進(jìn)行異常處理，可以使用新的多值保險箱。目錄配置)。

如果你不能立即升級，以下是降低風(fēng)險的最有效方法:

• 定義環(huán)境變量GIT_CEILING_DIRECTORIES來包含你的用戶配置文件的父目錄(例如，macOS上的/Users，在Linux上使用/home，在Windows上使用c:\用戶)。

• 當(dāng)當(dāng)前工作目錄不在受信任的存儲庫中時，避免在多用戶機器上運行Git。
  請注意，許多工具(例如用于Windows安裝的Git Bash、posh-git和Visual Studio)都在后臺運行Git命令。如果您使用的是多用戶機器，請避免使用這些工具，直到您使用

請注意，許多工具(例如用于Windows安裝的Git Bash、posh-git和Visual Studio)都在后臺運行Git命令。如果您在多用戶機器上，請在升級到最新版本之前避免使用這些工具。

發(fā)現(xiàn)這個漏洞功勞歸于 俞晨東。

CVE-2022-24767

這個漏洞會影響Git for Windows卸載程序，它運行在用戶的臨時目錄中。因為SYSTEM用戶帳戶繼承C:\Windows\Temp(這是世界可寫的)的默認(rèn)權(quán)限，任何通過身份驗證的用戶都可以放置惡意的.dll文件，這些文件在運行Git for Windows卸載程序時通過SYSTEM帳戶運行時被加載。
保護(hù)該漏洞的最有效方法是升級到Windows v2.35.2的Git。如果您不能立即升級，請使用以下方法降低風(fēng)險:

• 避免在升級之前運行卸載程序

• 將SYSTEM用戶的TMP環(huán)境變量覆蓋到只能由SYSTEM用戶寫入的目錄

• 在運行卸載程序之前，從C:\Windows\Temp中刪除未知的.dll文件

• 在管理員帳戶下運行卸載程序而不是作為系統(tǒng)用戶

發(fā)現(xiàn)這個漏洞的功勞歸于 洛克希德·馬丁紅隊。