正在閱讀：GitHub修復(fù)了允許任意代碼執(zhí)行的安全漏洞！GitHub修復(fù)了允許任意代碼執(zhí)行的安全漏洞！

　　【PConline資訊】GitHub是面向全球開發(fā)人員的首選代碼共享和托管服務(wù)。雖然歐盟尚未最終確定該交易，但該公司在6月被微軟收購，作價(jià)75億美元。今天，GitHub宣布了他們系統(tǒng)中的一個(gè)漏洞，允許任意代碼執(zhí)行的安全漏洞的攻擊�，F(xiàn)在已經(jīng)解決了這個(gè)問題，目前只有Unix平臺(tái)受到了影響。

　　GitHub的安全列表表示，如果執(zhí)行了特定的命令，即“gitclone--recurse-submodules”，其軟件中的漏洞允許在客戶端平臺(tái)上執(zhí)行任意代碼。它解釋說：

　　運(yùn)行“gitclone--recurse-submodules”時(shí)，Git會(huì)解析提供的.gitmodules文件中的URL字段，并將其作為參數(shù)盲目地傳遞給“gitclone”子進(jìn)程。如果URL字段設(shè)置為以短劃線開頭的字符串，則此“gitclone”子進(jìn)程將URL解釋為選項(xiàng)。這可能導(dǎo)致執(zhí)行超級(jí)項(xiàng)目中的任意腳本作為運(yùn)行“gitclone”的用戶。

　　在一篇博客文章中，微軟澄清了這個(gè)問題僅僅影響基于Unix的平臺(tái)，如Linux和macOS，或適用于在Windows子系統(tǒng)Linux（WSL）的Linux發(fā)行版中運(yùn)行g(shù)it的人。這是因?yàn)樵诶�用漏洞時(shí)寫入磁盤的文件名稱中需要冒號(hào)，并且由于Windows文件系統(tǒng)不支持冒號(hào)，因此GitforWindows不會(huì)寫入該文件。

　　該公司還注意到其在任何平臺(tái)（macOS，Windows）上使用Git的VisualStudio產(chǎn)品不受影響，但GitHub仍然建議用戶升級(jí)到Git版本2.17.2,2.18.1和2.19.1。