據(jù)報道，自5月31日之后，Git分布式版本控制系統(tǒng)已應(yīng)用最新版，并迅速修補了五個安全漏洞，其中 CVE-2024-32002號漏洞具有最高級別的安全風(fēng)險，它可用于“clone”行動中的代碼遠(yuǎn)程執(zhí)行。Git源程序于2005年由林納斯·托瓦茲研發(fā)，初期為滿足Linux內(nèi)核開發(fā)需求而設(shè)計。

CVE-2024-32002漏洞的嚴(yán)重性在于，黑客可通過創(chuàng)建特定的Git倉庫子模塊，誘騙Git將文件寫入.git/目錄，而非子模塊的工作樹。如此一來，攻擊者便能在克隆過程中植入惡意腳本，用戶幾乎無法察覺。

這主要源于Git文件系統(tǒng)對符號鏈接（symlinks）的支持以及大小寫不敏感，使得遞歸克隆易受大小寫混淆影響，從而讓未經(jīng)過身份驗證的遠(yuǎn)程攻擊者得以利用該漏洞，在受害者克隆操作期間執(zhí)行剛克隆的代碼，引發(fā)遠(yuǎn)程代碼執(zhí)行問題。

官方安全公告建議，關(guān)閉Git中的符號鏈接支持（如通過git config --global core.symlinks false）可有效防止此類攻擊。

上述漏洞已在Git v2.45.1、v2.44.1、v2.43.4、v2.42.2、v2.41.1、v2.40.2及v2.39.4等多個版本中得到修復(fù)。若用戶正使用受影響的版本，應(yīng)立即升級至：

Git 2.45.0

Git 2.44.0

Git 2.43.* 《 2.43.4

Git 2.42.* 《 2.42.2

Git 2.41.0

Git 2.40.* 《 2.40.2

Git 《 2.39.4

僅限于Windows和Mac系統(tǒng)。