发布于 2014-12-20 00:27:27 | 235 次阅读 | 评论: 0 | 来源: 网友投递
GitLab项目管理和代码托管平台
GitLab 是一个用于仓库管理系统的开源项目。使用Git作为代码管理工具,并在此基础上搭建起来的web服务。
昨天 Git 爆出一个严重的安全漏洞。该漏洞影响所有官方的 Git 客户端版本,由于是一个客户端的漏洞,因此包括 git.oschina.net、GitLab.com, GitLab 社区版和企业版 都不会直接受影响。
该漏洞存在于 Git 和 Git 兼容客户端在访问 Git 仓库的时候,当文件系统的文件名大小写不敏感以及大小写常规化的情况。攻击者可以创建一个恶意的 Git 树,导致在 clone 或者访问呢资源库时本地的 .git/config 目录被直接覆盖。这导致攻击者可以在客户端机器上执行任何命令。目前在 OS X 和 Windows 下的 Git 客户端受此漏洞影响。而 Linux 因为是大小心敏感的文件系统,因此不受影响。
我们强烈建议用户升级 Git 客户端来避免从不被信任的源中克隆资料库。
下面的 Git 升级版本修复了这个漏洞: