一、 漏洞 CVE-2024-52005 基础信息
漏洞信息
# 未经过滤的侧带负载被传递到git终端中
## 概述
Git 是一个源代码管理工具。在从服务器克隆(或提取、推送)时,来自远程 Git 进程的消息通过所谓的“旁路信道”传递到客户端。这些消息会被添加前缀“remote:”并直接打印到标准错误输出。通常,这个标准错误输出连接到理解 ANSI 转义序列的终端。由于 Git 并未对此加以保护,恶意行为者可以利用控制序列隐藏或误导信息,甚至诱使用户执行不受信任的脚本。
## 影响版本
所有使用未打补丁的 Git 版本的用户都可能受到影响。
## 细节
- **传输通道**: 消息通过旁路信道从远程 Git 进程传输到客户端。
- **终端控制**: 消息未经过保护,可能包含 ANSI 转义序列,影响终端显示。
- **安全漏洞**: 恶意行为者可以利用这些控制序列隐藏和误导信息,或者诱使用户执行不安全的操作。
## 影响
- **直接误导**: 用户被隐藏或不实信息误导,影响客户端输出的信任度。
- **执行风险**: 可能诱使用户执行恶意脚本,增加安全风险。
- **补丁讨论**: 相关补丁尚在公开邮件列表中讨论。
- **升级建议**: 用户应尽快升级到最新版本修补此漏洞。
- **临时防范**: 无法升级的用户应避免递归克隆,除非是从可信来源。
神龙判断
是否为 Web 类漏洞: 否
判断理由:
否。这个漏洞涉及的是Git客户端在处理从远程服务器接收到的消息时的安全问题,而非Web服务端的漏洞。具体来说,这个漏洞利用了客户端对通过sideband通道传输的消息中的ANSI转义序列缺乏保护,可能导致终端用户被骗执行不可信的脚本或被误导。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
The sideband payload is passed unfiltered to the terminal in git
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Git is a source code management tool. When cloning from a server (or fetching, or pushing), informational or error messages are transported from the remote Git process to the client via the so-called "sideband channel". These messages will be prefixed with "remote:" and printed directly to the standard error output. Typically, this standard error output is connected to a terminal that understands ANSI escape sequences, which Git did not protect against. Most modern terminals support control sequences that can be used by a malicious actor to hide and misrepresent information, or to mislead the user into executing untrusted scripts. As requested on the git-security mailing list, the patches are under discussion on the public mailing list. Users are advised to update as soon as possible. Users unable to upgrade should avoid recursive clones unless they are from trusted sources.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
对输出编码和转义不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
Git 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Git是Git开源的一套免费、开源的分布式版本控制系统。 Git存在安全漏洞,该漏洞源于侧带通道消息传输中的ANSI逃逸序列未被防护,可被恶意者利用来隐藏、歪曲信息或误导用户执行不可信的脚本。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2024-52005 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|---|---|---|
| 1 | Proof-of-Concept for CVE-2024-52005: ANSI escape sequence injection in Git. Demonstrates incorrect 'not_affected' VEX claims in hardened container images. | https://github.com/andrewd-cg/cve-2024-52005-poc | POC详情 |
三、漏洞 CVE-2024-52005 的情报信息
标题: [ANNOUNCE] Git for Windows 2.47.1(2) (security release) - Johannes Schindelin -- 🔗来源链接
标签:x_refsource_MISC
![[ANNOUNCE] Git for Windows 2.47.1(2) (security release) - Johannes Schindelin](https://cvepdf.imfht.com:2443//ti_screenshot/2025-01-25/screenshot-viewport-2025-01-25T20-46-26.380Z-a9dbd3579883e6cacc4e.webp)
标题: The sideband payload is passed unfiltered to the terminal · Advisory · git/git · GitHub -- 🔗来源链接
标签:x_refsource_CONFIRM
- https://nvd.nist.gov/vuln/detail/CVE-2024-52005
四、漏洞 CVE-2024-52005 的评论
暂无评论