GitLab 不受 Git 安全漏洞影响 CVE-2014-9390


昨天 Git 爆出一个严重的安全漏洞。该漏洞影响所有官方的 Git 客户端版本,由于是一个客户端的漏洞,因此包括 git.oschina.net、GitLab.com, GitLab 社区版和企业版 都不会直接受影响。

该漏洞存在于 Git 和 Git 兼容客户端在访问 Git 仓库的时候,当文件系统的文件名大小写不敏感以及大小写常规化的情况。攻击者可以创建一个恶意的 Git 树,导致在 clone 或者访问呢资源库时本地的 .git/config 目录被直接覆盖。这导致攻击者可以在客户端机器上执行任何命令。目前在 OS X 和 Windows 下的 Git 客户端受此漏洞影响。而 Linux 因为是大小心敏感的文件系统,因此不受影响。

我们强烈建议用户升级 Git 客户端来避免从不被信任的源中克隆资料库。

下面的 Git 升级版本修复了这个漏洞:

  • v1.8.5.6, v1.9.5, v2.0.5, v2.1.4, and v2.2.1

  • Git 开发包 libgit2 和 JGit, 也发布了维护版本来修复这个问题

在 Ubuntu 12.04 上安装 GitLab

GitLab 5.3 升级注意事项

在 CentOS 上部署 GitLab (自托管的Git项目仓库)

在RHEL6/CentOS6/ScientificLinux6上安装GitLab 6.0.2

CentOS 6.5安装GitLab教程及相关问题解决

GitLab 的详细介绍:请点这里
GitLab 的下载地址:请点这里

本文永久更新链接地址:

 

相关内容