Git发布新版本 修补五处安全漏洞 包含严重远程代码执行风险

据报道，自5月31日之后，Git分布式版本控制系统已应用最新版，并迅速修补了五个安全漏洞，其中 CVE-2024-32002号漏洞具有最高级别的安全风险，它可用于“clone”行动中的代码远程执行。Git源程序于2005年由林纳斯·托瓦兹研发，初期为满足Linux内核开发需求而设计。

CVE-2024-32002漏洞的严重性在于，黑客可通过创建特定的Git仓库子模块，诱骗Git将文件写入.git/目录，而非子模块的工作树。如此一来，攻击者便能在克隆过程中植入恶意脚本，用户几乎无法察觉。

这主要源于Git文件系统对符号链接（symlinks）的支持以及大小写不敏感，使得递归克隆易受大小写混淆影响，从而让未经过身份验证的远程攻击者得以利用该漏洞，在受害者克隆操作期间执行刚克隆的代码，引发远程代码执行问题。

官方安全公告建议，关闭Git中的符号链接支持（如通过git config --global core.symlinks false）可有效防止此类攻击。

上述漏洞已在Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2及v2.39.4等多个版本中得到修复。若用户正使用受影响的版本，应立即升级至：

Git 2.45.0

Git 2.44.0

Git 2.43.* 《 2.43.4

Git 2.42.* 《 2.42.2

Git 2.41.0

Git 2.40.* 《 2.40.2

Git 《 2.39.4

仅限于Windows和Mac系统。