Критическая уязвимость Git исправлена: немедленно обновите свои клиенты Git

Git только что анонсировала версию 2.2.1 , отладочный выпуск, который включает исправление безопасности для критической уязвимости, затрагивающей тех, кто использует клиенты Git для Windows и Mac OS X. Это обновление также включает новые выпуски с тем же исправлением безопасности для старых версий Git.

GitHub подтвердил , что GitHub для Windows и GitHub для Mac затронуты и должны быть немедленно обновлены. Команда инженеров GitHub объясняет, как злоумышленники могут использовать уязвимость:

Уязвимость касается Git и Git-совместимых клиентов, которые обращаются к репозиториям Git в файловой системе, нечувствительной к регистру или нормализующей регистр. Злоумышленник может создать вредоносное дерево Git, которое заставит Git перезаписывать собственный файл .git/config при клонировании или извлечении репозитория, что приведет к выполнению произвольной команды на клиентском компьютере. Через эту уязвимость можно использовать клиенты Git, работающие в OS X (HFS+) или любой версии Microsoft Windows (NTFS, FAT). Клиенты Linux не затрагиваются, если они работают в файловой системе с учетом регистра.

Если вы используете клиент GitHub для Windows или Mac , проблема с безопасностью исправлена ​​и готова к загрузке. Это включает в себя обновление как настольного приложения, так и связанной версии клиента командной строки Git. Если вы используете какой-либо другой клиент Git или программное обеспечение, которое подключается к репозиториям Git, вам необходимо немедленно выполнить обновление.

Хотя эта проблема не должна затронуть пользователей Linux, объявление о выпуске призывает тех, кто управляет услугами хостинга с пользователями, которые загружаются с компьютеров Windows или Mac OS X, обновиться, чтобы защитить пользователей с более старыми версиями Git. Ознакомьтесь с примечаниями к выпуску 2.2.1 для получения дополнительной информации об исправлениях безопасности.