Ce diaporama a bien été signalé.
Le téléchargement de votre SlideShare est en cours. ×

深入理解 CVE-2022-24765 漏洞的攻擊與防護策略 (Git v2.35.2)

深入理解 CVE-2022-24765 漏洞的攻擊與防護策略 (Git v2.35.2)

今年 2022/2/10 在 CVE (常見漏洞與披露) 資料庫中記載了一個新型態的攻擊手法,主要針對 Git for Windows 在特定使用情境下可能會造成一個有機會遭受攻擊的資安破口,Git 直到 2022/4/13 終於釋出了 v2.35.2 版本,徹底堵上了這個漏洞!

如果你覺得直接升級到 v2.35.2 這個版本就沒事,那你就錯了!會有這個漏洞就是因為 Windows 用戶經常會有些不好的習慣,導致駭客有機可乘。所以當你升級上去之後,可能會導致你目前的 Git 變的無法使用,甚至於會覺得軟體出現 Bug,進而花上大量時間找尋各種似是而非的解法。

本次直播我將分享這個漏洞的技術細節,也會示範如何重現這個問題,最後也會分享「最正確」與「最安全」的解決方法,幫助大家節省寶貴的時間。

今年 2022/2/10 在 CVE (常見漏洞與披露) 資料庫中記載了一個新型態的攻擊手法,主要針對 Git for Windows 在特定使用情境下可能會造成一個有機會遭受攻擊的資安破口,Git 直到 2022/4/13 終於釋出了 v2.35.2 版本,徹底堵上了這個漏洞!

如果你覺得直接升級到 v2.35.2 這個版本就沒事,那你就錯了!會有這個漏洞就是因為 Windows 用戶經常會有些不好的習慣,導致駭客有機可乘。所以當你升級上去之後,可能會導致你目前的 Git 變的無法使用,甚至於會覺得軟體出現 Bug,進而花上大量時間找尋各種似是而非的解法。

本次直播我將分享這個漏洞的技術細節,也會示範如何重現這個問題,最後也會分享「最正確」與「最安全」的解決方法,幫助大家節省寶貴的時間。

Plus De Contenu Connexe

深入理解 CVE-2022-24765 漏洞的攻擊與防護策略 (Git v2.35.2)

  1. 1. 搞定升級 Git 到 v2.35.2 之後的各種問題 深入理解 CVE-2022-24765 漏洞的攻擊與防護策略 多奇數位創意有限公司 技術總監 黃保翕(Will 保哥) https://blog.miniasp.com
  2. 2. CVE-2022-24765 • 在多使用者的電腦環境下,可能會被其他使用者在上層資料夾植入 .git 目錄,導致目前使用者在不知情的情況下讀取到不應該讀取 的 .gitconfig 設定值! • 在現有的 Git 的工作目錄下操作 Git 比較沒問題,但是在工作目錄以外執 行 Git 就有可能遭受攻擊。 • 最有效的解決方法是將 Git 升級到 v2.35.2 以上版本 • 如果無法立刻升級,你可以這樣做 - 定義 GIT_CEILING_DIRECTORIES 環境變數,指向你可以信賴的最上層目錄 例如: C:Users (Windows) 或 /Users (macOS) 或 /home (Linux) - 避免使用可多人登入的電腦環境下工作 2
  3. 3. 常用命令(命令提示字元) • 取得目錄或檔案擁有者資訊 DIR /Q /AD • 修改目錄或檔案擁有者 - icacls.exe api1 /setowner user1 3
  4. 4. 常用命令(PowerShell) • 取得 ACL (Access Control List) 資訊 Get-Acl * • 取得所有目錄或檔案的 ACL 資訊 dir -Recurse | Get-Acl | Format-List • 複製特定目錄或檔案的 ACL 資訊 Get-Acl -Path 'Path1' | Set-Acl -Path 'Path2' • 修改目錄或檔案的擁有者 $Account = New-Object -TypeName System.Security.Principal.NTAccount -ArgumentList 'user1' $Acl = Get-Acl api1 $Acl.SetOwner($Account) Set-Acl -Path api1 -AclObject $Acl 4
  5. 5. 相關連結 • Git security vulnerability announced | The GitHub Blog • [ANNOUNCE] Git v2.35.2 and below for CVE-2022-24765 (kernel.org) • CVE - CVE-2022-24765 (mitre.org) • Uncontrolled search for the Git directory in Git for Windows • Git for Windows 2.35.2 (Download) • Releases · git-for-windows/git (github.com) 5
  6. 6. The Will Will Web 網路世界的學習心得與技術分享 http://blog.miniasp.com/ Facebook Will 保哥的技術交流中心 http://www.facebook.com/will.fans Twitter https://twitter.com/Will_Huang 6 聯絡資訊
  7. 7. THANK YOU! Q&A

×