正在閱讀：GitHub修復(fù)了允許任意代碼執(zhí)行的安全漏洞！GitHub修復(fù)了允許任意代碼執(zhí)行的安全漏洞！

　　【PConline資訊】GitHub是面向全球開發(fā)人員的首選代碼共享和托管服務(wù)。雖然歐盟尚未最終確定該交易，但該公司在6月被微軟收購，作價75億美元。今天，GitHub宣布了他們系統(tǒng)中的一個漏洞，允許任意代碼執(zhí)行的安全漏洞的攻擊。現(xiàn)在已經(jīng)解決了這個問題，目前只有Unix平臺受到了影響。

　　GitHub的安全列表表示，如果執(zhí)行了特定的命令，即“gitclone--recurse-submodules”，其軟件中的漏洞允許在客戶端平臺上執(zhí)行任意代碼。它解釋說：

　　運行“gitclone--recurse-submodules”時，Git會解析提供的.gitmodules文件中的URL字段，并將其作為參數(shù)盲目地傳遞給“gitclone”子進(jìn)程。如果URL字段設(shè)置為以短劃線開頭的字符串，則此“gitclone”子進(jìn)程將URL解釋為選項。這可能導(dǎo)致執(zhí)行超級項目中的任意腳本作為運行“gitclone”的用戶。

　　在一篇博客文章中，微軟澄清了這個問題僅僅影響基于Unix的平臺，如Linux和macOS，或適用于在Windows子系統(tǒng)Linux（WSL）的Linux發(fā)行版中運行g(shù)it的人。這是因為在利用漏洞時寫入磁盤的文件名稱中需要冒號，并且由于Windows文件系統(tǒng)不支持冒號，因此GitforWindows不會寫入該文件。

　　該公司還注意到其在任何平臺（macOS，Windows）上使用Git的VisualStudio產(chǎn)品不受影響，但GitHub仍然建議用戶升級到Git版本2.17.2,2.18.1和2.19.1。