平台
linux
组件
git
修复版本
2.45.1
2.44.1
2.43.1
2.42.1
2.41.1
2.40.1
2.39.5
CVE-2024-32465 是 Git 存储库安全漏洞,允许攻击者绕过安全保护机制。该漏洞可能导致未经授权的访问和潜在的数据泄露,尤其是在处理来自不受信任的本地存储库时。受影响的版本包括 Git 2.43.0 之前的版本以及 2.43.4 之前的版本。建议升级至 2.45.1 版本以解决此问题。
此漏洞允许攻击者在克隆本地存储库时绕过 Git 的安全保护。攻击者可以利用此漏洞来篡改代码、窃取敏感信息,甚至可能执行恶意操作。虽然 CVE-2024-32004 已经涵盖了类似场景,但此漏洞的修复可能不足以完全消除风险,尤其是在处理 .zip 文件包含的存储库时。攻击者可能通过精心构造的存储库内容来诱导 Git 执行恶意操作,从而导致系统被攻陷。潜在影响包括代码污染、数据泄露和系统完整性受损。
CVE-2024-32465 已于 2024 年 5 月 14 日公开披露。目前尚无公开的利用程序 (PoC),但由于该漏洞的潜在影响,建议采取预防措施。该漏洞被认为是具有中等概率被利用的,因为它需要攻击者能够控制本地存储库。CISA 尚未将其添加到 KEV 目录,但建议持续关注相关安全公告。
Development teams using local Git repositories, particularly those sharing repositories between users or integrating with build systems, are at increased risk. Organizations with legacy Git configurations or those relying on older versions of Git are also vulnerable.
• linux / server:
journalctl -u git | grep -i "error" -i "warning"• linux / server:
ps aux | grep git• generic web: Inspect Git server access logs for unusual cloning patterns or requests from unexpected sources. • generic web: Check Git configuration files for any unauthorized modifications or suspicious entries.
disclosure
漏洞利用状态
EPSS
0.15% (36% 百分位)
CISA SSVC
CVSS 向量
为了减轻 CVE-2024-32465 的影响,建议立即升级至 Git 2.45.1 或更高版本。如果无法立即升级,可以考虑使用 git clone --no-local 命令来克隆存储库,以获得一个干净的副本。此外,应避免在不受信任的存储库中直接工作,并始终验证存储库的来源。在升级过程中,如果遇到兼容性问题,可以尝试回滚到之前的稳定版本,并密切关注 Git 官方发布的更新和安全公告。
Actualice Git a la versión 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 o 2.39.4, o superior. Evite usar Git en repositorios obtenidos a través de archivos de fuentes no confiables. Si no puede actualizar inmediatamente, tenga precaución al trabajar con repositorios obtenidos de fuentes no confiables.
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2024-32465 是 Git 存储库安全漏洞,允许攻击者绕过安全保护,可能导致数据泄露和代码篡改。
如果您使用的是 Git 2.43.0 之前的版本或 2.43.4 之前的版本,则可能受到影响。
建议升级至 Git 2.45.1 或更高版本以修复此漏洞。
目前尚无公开的利用程序,但建议采取预防措施。
请访问 Git 官方网站或 GitHub 仓库,查找相关的安全公告和更新信息。