OS X中的过时的GIT版本将开发人员面临风险
OS X命令行开发人员工具包括旧版本的GIT源代码管理系统,将Mac用户公开到远程代码执行攻击。
Git客户端允许开发人员与源代码存储库进行交互。默认情况下未安装在Mac OS X上,但它包含在Xcode的命令行工具包中,Apple集成开发环境(IDE)。
创建OS X或IOS应用程序的软件开发人员可能使用Xcode并在其Mac上安装Apple的命令行工具包。最新版本的此套餐包括12月发布的Git版本2.6.4。
问题是Git 2.6.4有两个上个月公开披露的严重漏洞。缺陷,被跟踪为CVE-2016-2315和CVE-2016-2324,影响Git上的客户端和服务器部署。在客户端,当克隆具有大文件名或大量嵌套树的存储库时,它们可能会导致远程代码执行。
该漏洞在3月17日发布的Git 2.7.4中固定在Git 2.7.4中,但一个月后,Apple仍然没有发布到其命令行工具包的更新。
甚至更糟糕的是,由于系统管理专家Rachel Kroll,因此在OS X El Capitan(10.11)中,因为系统X El Capitan(10.11),因此,由于系统管理专家Rachel Kroll,因此在OS X EL Capitan(10.11)中,用户可以“T即可轻松地更换或更新。这是因为Apple的最新操作系统X版本包括系统完整性保护(SIP),即使具有root权限,也可以防止在某些受保护的目录中修改程序的机制。
“也许你想通过禁用它,直到你能够禁止别的东西来保护你的用户,”Kroll在一个博客文章中说道。“好吧,对不起。您也可以“t”chmod -x“至少将其保留使用。它也会失败。“
幸运的是,有一个解决方法,因为/ usr / bin / git只是一个聪明的链接到/ xcode.app/contents/developer/usr/bin,它可以修改。在后者二进制文件上运行“chmod-x”将删除其执行权限,并确保不必意外运行用户或程序。
然后,您必须等到Apple将修补版本释放为未来命令行工具包的一部分。但是,Git对于开发工具很重要,并且防止其使用可能会影响工作流程。
Apple并没有立即回复该公司分销的Git二进制计划计划的询问。
“如果你依靠这样的机器,我真的很抱歉,”Kroll说。“我为你觉得。”