本專案模擬乙個利用cve-2021-21300漏洞執行倉庫內惡意指令碼的行為,如果您的git客戶端有 cve-2021-21300 的安全漏洞,執行 git clone 本倉庫時會輸出以下內容
cve-2021-21300 detected !!! please update your git to fix the vulnerability
由於對 symbolic links 處理的問題,導致在不區分大小寫的檔案系統例如 ntfs、hfs、apfs等(這些window和macos中預設的檔案系統)中 clone 倉庫時,存在通過 clean/smudge filters (由git lfs配置使用)執行命令的漏洞,通過該漏洞,受害者clone 惡意倉庫時會在本機執行倉庫內植入的惡意指令碼.
觸發這個漏洞還有兩個前提:
公升級到如下版本:
如果不能公升級可以通過以下woraround解決
加入社群
如何檢查npm包的安全漏洞
npm包的安全漏洞等級 檢查漏洞 修復漏洞 提交漏洞報告 npm包的數量非常巨大,因為開發者的水平差異,難免存在大大小小的安全漏洞。作為開發者,定期檢查專案依賴包中存在的安全漏洞並及時公升級修復版依賴是非常必要的。漏洞嚴重性從高到底排序 critical 危急 需要立即修復 high 高 盡可能快地...
Web安全漏洞
web的大多數安全問題都屬於下面三種型別之一 1 伺服器向公眾提供了不應該提供的服務。2 伺服器把本應私有的資料放到了公開訪問的區域。3 伺服器信賴了來自不可信賴資料來源的資料。顯然,許多伺服器管理員從來沒有從另乙個角度來看看他們的伺服器,例如使用埠掃瞄程式。如果他們曾經這樣做了,就不會在自己的系統...
Redis安全漏洞
redis 預設情況下,會繫結在 0.0.0.0 6379,如果沒有進行採用相關的策略,比如新增防火牆規則避免其他非信任 ip 訪問等,這樣將會將 redis 服務暴露到公網上,如果在沒有設定密碼認證 一般為空 的情況下,會導致任意使用者在可以訪問目標伺服器的情況下未授權訪問 redis 以及讀取 ...