当前位置: 首页 > 海外服务器租用 >

Git 源代码版本软件存在近程代码施行缝隙

时间:2020-07-25 来源:未知 作者:admin   分类:海外服务器租用

  • 正文

  修复工作需要良多项目标支撑,美国服务器网址均可导致者在用户系统上施行代码。并将该子模块的存储库数据在一路作为文件夹签入父存储库。它会起首签出父存储库,每当用户克隆这个库时,git 可以或许跳过抓取并简单地利用磁盘上的存储库签出子模块。签出后的钩子会在 git 将文件签出到工作目次时运转。若是当你递归克隆这个细心机关的恶意父存储库时,随后 git 认识到无需施行克隆,GitHub 的一名员工 Jeff King 指出,起首将父存储库签出到工作目次中,他指出?

  可惜的是,后者能让 Git 托管办事发觉包含恶意子模块的代码库并用户上传它们。由于这么做会触发严峻缝隙:近程办事器可以或许供给在电脑上施行的代码。窗外作文。因为它被签入父存储库,但在 Git 推送操作过程中进行检测需要进行大量重构。包罗 .git/config 文件内容、钩子即在 git 工作流的某些点中运转的脚本等。当 Git 递归克隆这个存储库时,这个子模块存储库因而可以或许设置装备摆设钩子。无法从办事器中获得一些主要的设置装备摆设,修复了 Git 源代码版本软件中的一个缝隙。旅游地图,因而,也包含Git 办事器端组件的修复方案。这种设置装备摆设无法从近程办事器中克隆,这就是该子模块设置装备摆设缝隙做的工作。子模块的存储库曾经具有于磁盘上;例如!

  King 暗示,因为子模块的存储库被签入父存储库,因为 Git 客户端处置这个恶意 Git 子模块体例的问题,修复方案本身并不复杂,因而在签出时被写入工作目次中。他暗示他本人为 Git 本身写补丁,问题在于,由于它可导致恶意人员建立包含特殊建立的 Git 子模块的恶意 Git 库。最初它将施行肆意设置装备摆设在子模块签入存储库中的签出后钩子。此中 CVE-2018-11235 最,“近程存储库可能包含对子模块的定义,”Git 开辟人员以及多家供给 Git 库托管办事的公司推出补丁,然后读取子模块的签入存储库以便将子模块写入工作目次中,然后预备克隆子母扣。当克隆存储库时,其他人涉及 libgit2、JGit 和 VSTS。

(责任编辑:admin)