关键信息 漏洞描述: - 在 S3 和 Glacier 远程存储中存在一个漏洞,当 设置时,如果远程使用 或 ,嵌入的 AWS 凭证会以明文形式存储在 Git 仓库中,而不是加密存储。 影响: - 任何获取到 Git 仓库副本的人都可以提取出 AWS 凭证,这可能导致安全风险。 解决方法: 1. 更改 AWS 凭证: - 更改 AWS 凭证,使存储在 Git 中的明文凭证失效。 - 确保使用固定版本的 ,并重新嵌入新的、加密的凭证。 2. 修复问题并清除历史记录: - 使用固定版本的 ,强制其重写嵌入的凭证,并加密存储。 - 使用 命令删除包含明文凭证的旧版本 分支。 3. 确认唯一访问者: - 如果确定你是唯一有权访问仓库的人,可以选择保留现状,因为不再比最初设置时使用 更不安全。 相关链接: - devblog/day 221 - another fine day of bugfixing forum/security risk presented by remote.log?/comment 6 - CVE-2014-6274 最后编辑时间: - 10 年前和 10 个月前。