狠狠撸

狠狠撸Share a Scribd company logo

深入理解 CVE-2022-24765 漏洞的攻擊與防護策略 (Git v2.35.2)

Will Huang
Will Huang

今年 2022/2/10 在 CVE (常見漏洞與披露) 資料庫中記載了一個新型態的攻擊手法,主要針對 Git for Windows 在特定使用情境下可能會造成一個有機會遭受攻擊的資安破口,Git 直到 2022/4/13 終於釋出了 v2.35.2 版本,徹底堵上了這個漏洞! 如果你覺得直接升級到 v2.35.2 這個版本就沒事,那你就錯了!會有這個漏洞就是因為 Windows 用戶經常會有些不好的習慣,導致駭客有機可乘。所以當你升級上去之後,可能會導致你目前的 Git 變的無法使用,甚至於會覺得軟體出現 Bug,進而花上大量時間找尋各種似是而非的解法。 本次直播我將分享這個漏洞的技術細節,也會示範如何重現這個問題,最後也會分享「最正確」與「最安全」的解決方法,幫助大家節省寶貴的時間。

1 of 7
搞定升級 Git 到 v2.35.2 之後的各種問題 深入理解 CVE-2022-24765 漏洞的攻擊與防護策略 多奇數位創意有限公司 技術總監 黃保翕(Will 保哥) https://blog.miniasp.com
CVE-2022-24765 ? 在多使用者的電腦環境下,可能會被其他使用者在上層資料夾植入 .git 目錄,導致目前使用者在不知情的情況下讀取到不應該讀取 的 .gitconfig 設定值! ? 在現有的 Git 的工作目錄下操作 Git 比較沒問題,但是在工作目錄以外執 行 Git 就有可能遭受攻擊。 ? 最有效的解決方法是將 Git 升級到 v2.35.2 以上版本 ? 如果無法立刻升級,你可以這樣做 - 定義 GIT_CEILING_DIRECTORIES 環境變數,指向你可以信賴的最上層目錄 例如: C:Users (Windows) 或 /Users (macOS) 或 /home (Linux) - 避免使用可多人登入的電腦環境下工作 2
常用命令(命令提示字元) ? 取得目錄或檔案擁有者資訊 DIR /Q /AD ? 修改目錄或檔案擁有者 - icacls.exe api1 /setowner user1 3
常用命令(PowerShell) ? 取得 ACL (Access Control List) 資訊 Get-Acl * ? 取得所有目錄或檔案的 ACL 資訊 dir -Recurse | Get-Acl | Format-List ? 複製特定目錄或檔案的 ACL 資訊 Get-Acl -Path 'Path1' | Set-Acl -Path 'Path2' ? 修改目錄或檔案的擁有者 $Account = New-Object -TypeName System.Security.Principal.NTAccount -ArgumentList 'user1' $Acl = Get-Acl api1 $Acl.SetOwner($Account) Set-Acl -Path api1 -AclObject $Acl 4
相關連結 ? Git security vulnerability announced | The GitHub Blog ? [ANNOUNCE] Git v2.35.2 and below for CVE-2022-24765 (kernel.org) ? CVE - CVE-2022-24765 (mitre.org) ? Uncontrolled search for the Git directory in Git for Windows ? Git for Windows 2.35.2 (Download) ? Releases · git-for-windows/git (github.com) 5
The Will Will Web 網路世界的學習心得與技術分享 http://blog.miniasp.com/ Facebook Will 保哥的技術交流中心 http://www.facebook.com/will.fans Twitter https://twitter.com/Will_Huang 6 聯絡資訊
THANK YOU! Q&A

Recommended

從頭打造 C#、.NET 與 ASP.NET Core 開發環境
從頭打造 C#、.NET 與 ASP.NET Core 開發環境從頭打造 C#、.NET 與 ASP.NET Core 開發環境
從頭打造 C#、.NET 與 ASP.NET Core 開發環境
Will Huang
?
厂颁笔コマンドについて
厂颁笔コマンドについて厂颁笔コマンドについて
厂颁笔コマンドについて
iPride Co., Ltd.
?
Introduction to CNI (Container Network Interface)
Introduction to CNI (Container Network Interface)Introduction to CNI (Container Network Interface)
Introduction to CNI (Container Network Interface)
HungWei Chiu
?
OpenShift Meetup #5 OperatorとOperator Lifecycle Manager(OLM)の概要とデモ
OpenShift Meetup #5 OperatorとOperator Lifecycle Manager(OLM)の概要とデモOpenShift Meetup #5 OperatorとOperator Lifecycle Manager(OLM)の概要とデモ
OpenShift Meetup #5 OperatorとOperator Lifecycle Manager(OLM)の概要とデモ
AkiyoshiYonekura
?
.狈贰罢ラボ2021年9月 叠濒补锄辞谤のカスタム认証を通じて顿滨の便利さを学ぶ
.狈贰罢ラボ2021年9月 叠濒补锄辞谤のカスタム认証を通じて顿滨の便利さを学ぶ.狈贰罢ラボ2021年9月 叠濒补锄辞谤のカスタム认証を通じて顿滨の便利さを学ぶ
.狈贰罢ラボ2021年9月 叠濒补锄辞谤のカスタム认証を通じて顿滨の便利さを学ぶ
TomomitsuKusaba
?
進擊的前端工程師:今天就用 JSON Server 自己打造 API 吧!
進擊的前端工程師:今天就用 JSON Server 自己打造 API 吧!進擊的前端工程師:今天就用 JSON Server 自己打造 API 吧!
進擊的前端工程師:今天就用 JSON Server 自己打造 API 吧!
Will Huang
?
Multibranch pipelineて?いろいろ学んた?こと
Multibranch pipelineて?いろいろ学んた?ことMultibranch pipelineて?いろいろ学んた?こと
Multibranch pipelineて?いろいろ学んた?こと
Recruit Lifestyle Co., Ltd.
?
Getting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NGGetting Started - Ansible Galaxy NG
Getting Started - Ansible Galaxy NG
Hideki Saito
?
Percona server for MySQL ?? ??
Percona server for MySQL ?? ??Percona server for MySQL ?? ??
Percona server for MySQL ?? ??
NeoClova
?
2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)
2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)
2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)
Mirantis
?
Gitops Hands On
Gitops Hands OnGitops Hands On
Gitops Hands On
Brice Fernandes
?
GitLab.pptx
GitLab.pptxGitLab.pptx
GitLab.pptx
LeoulZewelde1
?
Kubernetes (k8s).pdfKubernetes (k8s).pdf
Kubernetes (k8s).pdf
Jaouad Assabbour
?
ASP.NET Core 6.0 全新功能探索
ASP.NET Core 6.0 全新功能探索ASP.NET Core 6.0 全新功能探索
ASP.NET Core 6.0 全新功能探索
Will Huang
?
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et Docker
Stephane Manciot
?
Java App On Digital Ocean: Deploying With Gitlab CI/CD
Java App On Digital Ocean: Deploying With Gitlab CI/CDJava App On Digital Ocean: Deploying With Gitlab CI/CD
Java App On Digital Ocean: Deploying With Gitlab CI/CD
Seun Matt
?
[KubeCon NA 2020] containerd: Rootless Containers 2020
[KubeCon NA 2020] containerd: Rootless Containers 2020[KubeCon NA 2020] containerd: Rootless Containers 2020
[KubeCon NA 2020] containerd: Rootless Containers 2020
Akihiro Suda
?
Git - Level 2
Git - Level 2Git - Level 2
Git - Level 2
?? ?
?
Rootless Kubernetes
Rootless KubernetesRootless Kubernetes
Rootless Kubernetes
Akihiro Suda
?
Net core
Net coreNet core
Net core
Damir Dobric
?
贬补蝉丑颈颁辞谤辫の狈辞尘补诲を使ったコンテナのスケジューリング手法
贬补蝉丑颈颁辞谤辫の狈辞尘补诲を使ったコンテナのスケジューリング手法贬补蝉丑颈颁辞谤辫の狈辞尘补诲を使ったコンテナのスケジューリング手法
贬补蝉丑颈颁辞谤辫の狈辞尘补诲を使ったコンテナのスケジューリング手法
Masahito Zembutsu
?
ヘット?レスCMS調査 Strapiを試してみた
ヘット?レスCMS調査 Strapiを試してみたヘット?レスCMS調査 Strapiを試してみた
ヘット?レスCMS調査 Strapiを試してみた
SosukeYamada
?
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
onozaty
?
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallZabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Atsushi Tanaka
?
HBase at LINE
HBase at LINEHBase at LINE
HBase at LINE
Shun Nakamura
?
Cilium - Bringing the BPF Revolution to Kubernetes Networking and Security
Cilium - Bringing the BPF Revolution to Kubernetes Networking and SecurityCilium - Bringing the BPF Revolution to Kubernetes Networking and Security
Cilium - Bringing the BPF Revolution to Kubernetes Networking and Security
Thomas Graf
?
System.Drawing 周りの話
System.Drawing 周りの話System.Drawing 周りの話
System.Drawing 周りの話
Satoru Fujimori
?
20221021_JP5.0.2-Webinar-JP_Final.pdf
20221021_JP5.0.2-Webinar-JP_Final.pdf20221021_JP5.0.2-Webinar-JP_Final.pdf
20221021_JP5.0.2-Webinar-JP_Final.pdf
NVIDIA Japan
?
Git&Github Tutorial
Git&Github TutorialGit&Github Tutorial
Git&Github Tutorial
Ting Wen Su
?
工程師必備第一工具 - Git
工程師必備第一工具 - Git工程師必備第一工具 - Git
工程師必備第一工具 - Git
Alan Tsai
?

More Related Content

What's hot (20)

Percona server for MySQL ?? ??
Percona server for MySQL ?? ??Percona server for MySQL ?? ??
Percona server for MySQL ?? ??
NeoClova
?
2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)
2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)
2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)
Mirantis
?
Gitops Hands On
Gitops Hands OnGitops Hands On
Gitops Hands On
Brice Fernandes
?
GitLab.pptx
GitLab.pptxGitLab.pptx
GitLab.pptx
LeoulZewelde1
?
Kubernetes (k8s).pdfKubernetes (k8s).pdf
Kubernetes (k8s).pdf
Jaouad Assabbour
?
ASP.NET Core 6.0 全新功能探索
ASP.NET Core 6.0 全新功能探索ASP.NET Core 6.0 全新功能探索
ASP.NET Core 6.0 全新功能探索
Will Huang
?
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et Docker
Stephane Manciot
?
Java App On Digital Ocean: Deploying With Gitlab CI/CD
Java App On Digital Ocean: Deploying With Gitlab CI/CDJava App On Digital Ocean: Deploying With Gitlab CI/CD
Java App On Digital Ocean: Deploying With Gitlab CI/CD
Seun Matt
?
[KubeCon NA 2020] containerd: Rootless Containers 2020
[KubeCon NA 2020] containerd: Rootless Containers 2020[KubeCon NA 2020] containerd: Rootless Containers 2020
[KubeCon NA 2020] containerd: Rootless Containers 2020
Akihiro Suda
?
Git - Level 2
Git - Level 2Git - Level 2
Git - Level 2
?? ?
?
Rootless Kubernetes
Rootless KubernetesRootless Kubernetes
Rootless Kubernetes
Akihiro Suda
?
Net core
Net coreNet core
Net core
Damir Dobric
?
贬补蝉丑颈颁辞谤辫の狈辞尘补诲を使ったコンテナのスケジューリング手法
贬补蝉丑颈颁辞谤辫の狈辞尘补诲を使ったコンテナのスケジューリング手法贬补蝉丑颈颁辞谤辫の狈辞尘补诲を使ったコンテナのスケジューリング手法
贬补蝉丑颈颁辞谤辫の狈辞尘补诲を使ったコンテナのスケジューリング手法
Masahito Zembutsu
?
ヘット?レスCMS調査 Strapiを試してみた
ヘット?レスCMS調査 Strapiを試してみたヘット?レスCMS調査 Strapiを試してみた
ヘット?レスCMS調査 Strapiを試してみた
SosukeYamada
?
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
onozaty
?
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallZabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Atsushi Tanaka
?
HBase at LINE
HBase at LINEHBase at LINE
HBase at LINE
Shun Nakamura
?
Cilium - Bringing the BPF Revolution to Kubernetes Networking and Security
Cilium - Bringing the BPF Revolution to Kubernetes Networking and SecurityCilium - Bringing the BPF Revolution to Kubernetes Networking and Security
Cilium - Bringing the BPF Revolution to Kubernetes Networking and Security
Thomas Graf
?
System.Drawing 周りの話
System.Drawing 周りの話System.Drawing 周りの話
System.Drawing 周りの話
Satoru Fujimori
?
20221021_JP5.0.2-Webinar-JP_Final.pdf
20221021_JP5.0.2-Webinar-JP_Final.pdf20221021_JP5.0.2-Webinar-JP_Final.pdf
20221021_JP5.0.2-Webinar-JP_Final.pdf
NVIDIA Japan
?
Percona server for MySQL ?? ??
Percona server for MySQL ?? ??Percona server for MySQL ?? ??
Percona server for MySQL ?? ??
NeoClova
?
2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)
2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)
2 Day Bootcamp for OpenStack--Cloud Training by Mirantis (Preview)
Mirantis
?
Gitops Hands On
Gitops Hands OnGitops Hands On
Gitops Hands On
Brice Fernandes
?
GitLab.pptx
GitLab.pptxGitLab.pptx
GitLab.pptx
LeoulZewelde1
?
Kubernetes (k8s).pdfKubernetes (k8s).pdf
Kubernetes (k8s).pdf
Jaouad Assabbour
?
ASP.NET Core 6.0 全新功能探索
ASP.NET Core 6.0 全新功能探索ASP.NET Core 6.0 全新功能探索
ASP.NET Core 6.0 全新功能探索
Will Huang
?
DevOps avec Ansible et DockerDevOps avec Ansible et Docker
DevOps avec Ansible et Docker
Stephane Manciot
?
Java App On Digital Ocean: Deploying With Gitlab CI/CD
Java App On Digital Ocean: Deploying With Gitlab CI/CDJava App On Digital Ocean: Deploying With Gitlab CI/CD
Java App On Digital Ocean: Deploying With Gitlab CI/CD
Seun Matt
?
[KubeCon NA 2020] containerd: Rootless Containers 2020
[KubeCon NA 2020] containerd: Rootless Containers 2020[KubeCon NA 2020] containerd: Rootless Containers 2020
[KubeCon NA 2020] containerd: Rootless Containers 2020
Akihiro Suda
?
Git - Level 2
Git - Level 2Git - Level 2
Git - Level 2
?? ?
?
Rootless Kubernetes
Rootless KubernetesRootless Kubernetes
Rootless Kubernetes
Akihiro Suda
?
Net core
Net coreNet core
Net core
Damir Dobric
?
贬补蝉丑颈颁辞谤辫の狈辞尘补诲を使ったコンテナのスケジューリング手法
贬补蝉丑颈颁辞谤辫の狈辞尘补诲を使ったコンテナのスケジューリング手法贬补蝉丑颈颁辞谤辫の狈辞尘补诲を使ったコンテナのスケジューリング手法
贬补蝉丑颈颁辞谤辫の狈辞尘补诲を使ったコンテナのスケジューリング手法
Masahito Zembutsu
?
ヘット?レスCMS調査 Strapiを試してみた
ヘット?レスCMS調査 Strapiを試してみたヘット?レスCMS調査 Strapiを試してみた
ヘット?レスCMS調査 Strapiを試してみた
SosukeYamada
?
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
onozaty
?
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/FallZabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Zabbix最新情報 ~Zabbix 6.0に向けて~ @OSC2021 Online/Fall
Atsushi Tanaka
?
HBase at LINE
HBase at LINEHBase at LINE
HBase at LINE
Shun Nakamura
?
Cilium - Bringing the BPF Revolution to Kubernetes Networking and Security
Cilium - Bringing the BPF Revolution to Kubernetes Networking and SecurityCilium - Bringing the BPF Revolution to Kubernetes Networking and Security
Cilium - Bringing the BPF Revolution to Kubernetes Networking and Security
Thomas Graf
?
System.Drawing 周りの話
System.Drawing 周りの話System.Drawing 周りの話
System.Drawing 周りの話
Satoru Fujimori
?
20221021_JP5.0.2-Webinar-JP_Final.pdf
20221021_JP5.0.2-Webinar-JP_Final.pdf20221021_JP5.0.2-Webinar-JP_Final.pdf
20221021_JP5.0.2-Webinar-JP_Final.pdf
NVIDIA Japan
?

Similar to 深入理解 CVE-2022-24765 漏洞的攻擊與防護策略 (Git v2.35.2) (20)

Git&Github Tutorial
Git&Github TutorialGit&Github Tutorial
Git&Github Tutorial
Ting Wen Su
?
工程師必備第一工具 - Git
工程師必備第一工具 - Git工程師必備第一工具 - Git
工程師必備第一工具 - Git
Alan Tsai
?
COSCUP 2015 開源之道-Git工作坊教學簡報
COSCUP 2015 開源之道-Git工作坊教學簡報COSCUP 2015 開源之道-Git工作坊教學簡報
COSCUP 2015 開源之道-Git工作坊教學簡報
Bachue Zhou
?
Git 入門與實作
Git 入門與實作Git 入門與實作
Git 入門與實作
奕浦 郭
?
骋颈迟丑耻产介绍
骋颈迟丑耻产介绍骋颈迟丑耻产介绍
骋颈迟丑耻产介绍
Radian Jheng
?
Git 入门实战
Git 入门实战Git 入门实战
Git 入门实战
icy leaf
?
Git 使用介绍
Git 使用介绍Git 使用介绍
Git 使用介绍
medcl
?
Git and Github basic with SourceTree
Git and Github basic with SourceTreeGit and Github basic with SourceTree
Git and Github basic with SourceTree
Chu-Siang Lai
?
Git tutorial for windows user (給 Windows user 的 Git 教學)
Git tutorial for windows user (給 Windows user 的 Git 教學)Git tutorial for windows user (給 Windows user 的 Git 教學)
Git tutorial for windows user (給 Windows user 的 Git 教學)
Cloud Tu
?
Git & git hub v1.2
Git & git hub v1.2Git & git hub v1.2
Git & git hub v1.2
Chris Chen
?
Git in a nutshell
Git in a nutshellGit in a nutshell
Git in a nutshell
Nelson Tai
?
Git flow 與團隊合作
Git flow 與團隊合作Git flow 與團隊合作
Git flow 與團隊合作
Bo-Yi Wu
?
First meetingwithgit
First meetingwithgitFirst meetingwithgit
First meetingwithgit
Rhythm Sun
?
Git Flow 管理
Git Flow 管理Git Flow 管理
Git Flow 管理
Pu Lee
?
Learning to Use Git | WeiYuan
Learning to Use Git | WeiYuanLearning to Use Git | WeiYuan
Learning to Use Git | WeiYuan
Wei-Yuan Chang
?
Use Git-flow Manage Your Git Workflow
Use Git-flow Manage Your Git WorkflowUse Git-flow Manage Your Git Workflow
Use Git-flow Manage Your Git Workflow
Liangjun Jiang
?
Git原理与实战 201607
Git原理与实战 201607Git原理与实战 201607
Git原理与实战 201607
Charles Tang
?
Git 版本控制系統 -- 從微觀到宏觀
Git 版本控制系統 -- 從微觀到宏觀Git 版本控制系統 -- 從微觀到宏觀
Git 版本控制系統 -- 從微觀到宏觀
Wen-Tien Chang
?
骋颈迟版本管理控管实战
骋颈迟版本管理控管实战骋颈迟版本管理控管实战
骋颈迟版本管理控管实战
Claire Chang
?
骋颈迟前世今生
骋颈迟前世今生骋颈迟前世今生
骋颈迟前世今生
hiyco
?
Git&Github Tutorial
Git&Github TutorialGit&Github Tutorial
Git&Github Tutorial
Ting Wen Su
?
工程師必備第一工具 - Git
工程師必備第一工具 - Git工程師必備第一工具 - Git
工程師必備第一工具 - Git
Alan Tsai
?
COSCUP 2015 開源之道-Git工作坊教學簡報
COSCUP 2015 開源之道-Git工作坊教學簡報COSCUP 2015 開源之道-Git工作坊教學簡報
COSCUP 2015 開源之道-Git工作坊教學簡報
Bachue Zhou
?
Git 入門與實作
Git 入門與實作Git 入門與實作
Git 入門與實作
奕浦 郭
?
骋颈迟丑耻产介绍
骋颈迟丑耻产介绍骋颈迟丑耻产介绍
骋颈迟丑耻产介绍
Radian Jheng
?
Git 入门实战
Git 入门实战Git 入门实战
Git 入门实战
icy leaf
?
Git 使用介绍
Git 使用介绍Git 使用介绍
Git 使用介绍
medcl
?
Git and Github basic with SourceTree
Git and Github basic with SourceTreeGit and Github basic with SourceTree
Git and Github basic with SourceTree
Chu-Siang Lai
?
Git tutorial for windows user (給 Windows user 的 Git 教學)
Git tutorial for windows user (給 Windows user 的 Git 教學)Git tutorial for windows user (給 Windows user 的 Git 教學)
Git tutorial for windows user (給 Windows user 的 Git 教學)
Cloud Tu
?
Git & git hub v1.2
Git & git hub v1.2Git & git hub v1.2
Git & git hub v1.2
Chris Chen
?
Git in a nutshell
Git in a nutshellGit in a nutshell
Git in a nutshell
Nelson Tai
?
Git flow 與團隊合作
Git flow 與團隊合作Git flow 與團隊合作
Git flow 與團隊合作
Bo-Yi Wu
?
First meetingwithgit
First meetingwithgitFirst meetingwithgit
First meetingwithgit
Rhythm Sun
?
Git Flow 管理
Git Flow 管理Git Flow 管理
Git Flow 管理
Pu Lee
?
Learning to Use Git | WeiYuan
Learning to Use Git | WeiYuanLearning to Use Git | WeiYuan
Learning to Use Git | WeiYuan
Wei-Yuan Chang
?
Use Git-flow Manage Your Git Workflow
Use Git-flow Manage Your Git WorkflowUse Git-flow Manage Your Git Workflow
Use Git-flow Manage Your Git Workflow
Liangjun Jiang
?
Git原理与实战 201607
Git原理与实战 201607Git原理与实战 201607
Git原理与实战 201607
Charles Tang
?
Git 版本控制系統 -- 從微觀到宏觀
Git 版本控制系統 -- 從微觀到宏觀Git 版本控制系統 -- 從微觀到宏觀
Git 版本控制系統 -- 從微觀到宏觀
Wen-Tien Chang
?
骋颈迟版本管理控管实战
骋颈迟版本管理控管实战骋颈迟版本管理控管实战
骋颈迟版本管理控管实战
Claire Chang
?
骋颈迟前世今生
骋颈迟前世今生骋颈迟前世今生
骋颈迟前世今生
hiyco
?

More from Will Huang (20)

你一定不能不知道的 Markdown 寫作技巧
你一定不能不知道的 Markdown 寫作技巧你一定不能不知道的 Markdown 寫作技巧
你一定不能不知道的 Markdown 寫作技巧
Will Huang
?
使用 .NET 5 實現美股期貨的量化交易策略 (.NET Conf 2020)
使用 .NET 5 實現美股期貨的量化交易策略 (.NET Conf 2020)使用 .NET 5 實現美股期貨的量化交易策略 (.NET Conf 2020)
使用 .NET 5 實現美股期貨的量化交易策略 (.NET Conf 2020)
Will Huang
?
實現 Angular, Docker 與 Kubernetes 持續部署 (NG+2020)
實現 Angular, Docker 與 Kubernetes 持續部署 (NG+2020)實現 Angular, Docker 與 Kubernetes 持續部署 (NG+2020)
實現 Angular, Docker 與 Kubernetes 持續部署 (NG+2020)
Will Huang
?
Micro-frontends with Angular 10 (Modern Web 2020)
Micro-frontends with Angular 10 (Modern Web 2020)Micro-frontends with Angular 10 (Modern Web 2020)
Micro-frontends with Angular 10 (Modern Web 2020)
Will Huang
?
從實戰經驗看到的 K8S 導入痛點
從實戰經驗看到的 K8S 導入痛點從實戰經驗看到的 K8S 導入痛點
從實戰經驗看到的 K8S 導入痛點
Will Huang
?
RxJS 6 新手入門
RxJS 6 新手入門RxJS 6 新手入門
RxJS 6 新手入門
Will Huang
?
极速 Angular 开发:效能调校技巧 (ngChina 2019)
极速 Angular 开发:效能调校技巧 (ngChina 2019)极速 Angular 开发:效能调校技巧 (ngChina 2019)
极速 Angular 开发:效能调校技巧 (ngChina 2019)
Will Huang
?
你不可不知的 ASP.NET Core 3 全新功能探索 (.NET Conf 2019)
你不可不知的 ASP.NET Core 3 全新功能探索 (.NET Conf 2019)你不可不知的 ASP.NET Core 3 全新功能探索 (.NET Conf 2019)
你不可不知的 ASP.NET Core 3 全新功能探索 (.NET Conf 2019)
Will Huang
?
Protractor: The Hacker way (NG-MY 2019)
Protractor: The Hacker way (NG-MY 2019)Protractor: The Hacker way (NG-MY 2019)
Protractor: The Hacker way (NG-MY 2019)
Will Huang
?
邁向 Windows Server 應用程式現代化 (Windows Server Application Modernization)
邁向 Windows Server 應用程式現代化 (Windows Server Application Modernization)邁向 Windows Server 應用程式現代化 (Windows Server Application Modernization)
邁向 Windows Server 應用程式現代化 (Windows Server Application Modernization)
Will Huang
?
Angular 开发技巧 (2018 ngChina 开发者大会)
Angular 开发技巧 (2018 ngChina 开发者大会)Angular 开发技巧 (2018 ngChina 开发者大会)
Angular 开发技巧 (2018 ngChina 开发者大会)
Will Huang
?
Angular 7 全新功能探索 (Angular Taiwan 2018)
Angular 7 全新功能探索 (Angular Taiwan 2018)Angular 7 全新功能探索 (Angular Taiwan 2018)
Angular 7 全新功能探索 (Angular Taiwan 2018)
Will Huang
?
利用.NET Core 與 Azure Kubernetes Service (AKS) 建立高彈性 Microservices (Azure TechDay)
利用.NET Core 與 Azure Kubernetes Service (AKS) 建立高彈性 Microservices (Azure TechDay)利用.NET Core 與 Azure Kubernetes Service (AKS) 建立高彈性 Microservices (Azure TechDay)
利用.NET Core 與 Azure Kubernetes Service (AKS) 建立高彈性 Microservices (Azure TechDay)
Will Huang
?
AKS 與開發人員體驗 (Kubernetes 大講堂)
AKS 與開發人員體驗 (Kubernetes 大講堂)AKS 與開發人員體驗 (Kubernetes 大講堂)
AKS 與開發人員體驗 (Kubernetes 大講堂)
Will Huang
?
使用 ASP.NET Blazor 開發 SPA 網頁應用程式 (.NET Conf 2018)
使用 ASP.NET Blazor 開發 SPA 網頁應用程式 (.NET Conf 2018)使用 ASP.NET Blazor 開發 SPA 網頁應用程式 (.NET Conf 2018)
使用 ASP.NET Blazor 開發 SPA 網頁應用程式 (.NET Conf 2018)
Will Huang
?
全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
Will Huang
?
使用 C#/Razor 開發互動式 WebAssembly 網站 (Modern Web 2018)
使用 C#/Razor 開發互動式 WebAssembly 網站 (Modern Web 2018)使用 C#/Razor 開發互動式 WebAssembly 網站 (Modern Web 2018)
使用 C#/Razor 開發互動式 WebAssembly 網站 (Modern Web 2018)
Will Huang
?
以敏捷架构打造美国软体外包专案的经验谈
以敏捷架构打造美国软体外包专案的经验谈以敏捷架构打造美国软体外包专案的经验谈
以敏捷架构打造美国软体外包专案的经验谈
Will Huang
?
開發人員必須知道的 Kubernetes 核心技術 - Kubernetes Summit 2018
開發人員必須知道的 Kubernetes 核心技術 - Kubernetes Summit 2018開發人員必須知道的 Kubernetes 核心技術 - Kubernetes Summit 2018
開發人員必須知道的 Kubernetes 核心技術 - Kubernetes Summit 2018
Will Huang
?
迎接崭新的奥颈苍诲辞飞蝉容器丛集架构:碍耻产别谤苍别迟别蝉
迎接崭新的奥颈苍诲辞飞蝉容器丛集架构:碍耻产别谤苍别迟别蝉迎接崭新的奥颈苍诲辞飞蝉容器丛集架构:碍耻产别谤苍别迟别蝉
迎接崭新的奥颈苍诲辞飞蝉容器丛集架构:碍耻产别谤苍别迟别蝉
Will Huang
?
你一定不能不知道的 Markdown 寫作技巧
你一定不能不知道的 Markdown 寫作技巧你一定不能不知道的 Markdown 寫作技巧
你一定不能不知道的 Markdown 寫作技巧
Will Huang
?
使用 .NET 5 實現美股期貨的量化交易策略 (.NET Conf 2020)
使用 .NET 5 實現美股期貨的量化交易策略 (.NET Conf 2020)使用 .NET 5 實現美股期貨的量化交易策略 (.NET Conf 2020)
使用 .NET 5 實現美股期貨的量化交易策略 (.NET Conf 2020)
Will Huang
?
實現 Angular, Docker 與 Kubernetes 持續部署 (NG+2020)
實現 Angular, Docker 與 Kubernetes 持續部署 (NG+2020)實現 Angular, Docker 與 Kubernetes 持續部署 (NG+2020)
實現 Angular, Docker 與 Kubernetes 持續部署 (NG+2020)
Will Huang
?
Micro-frontends with Angular 10 (Modern Web 2020)
Micro-frontends with Angular 10 (Modern Web 2020)Micro-frontends with Angular 10 (Modern Web 2020)
Micro-frontends with Angular 10 (Modern Web 2020)
Will Huang
?
從實戰經驗看到的 K8S 導入痛點
從實戰經驗看到的 K8S 導入痛點從實戰經驗看到的 K8S 導入痛點
從實戰經驗看到的 K8S 導入痛點
Will Huang
?
RxJS 6 新手入門
RxJS 6 新手入門RxJS 6 新手入門
RxJS 6 新手入門
Will Huang
?
极速 Angular 开发:效能调校技巧 (ngChina 2019)
极速 Angular 开发:效能调校技巧 (ngChina 2019)极速 Angular 开发:效能调校技巧 (ngChina 2019)
极速 Angular 开发:效能调校技巧 (ngChina 2019)
Will Huang
?
你不可不知的 ASP.NET Core 3 全新功能探索 (.NET Conf 2019)
你不可不知的 ASP.NET Core 3 全新功能探索 (.NET Conf 2019)你不可不知的 ASP.NET Core 3 全新功能探索 (.NET Conf 2019)
你不可不知的 ASP.NET Core 3 全新功能探索 (.NET Conf 2019)
Will Huang
?
Protractor: The Hacker way (NG-MY 2019)
Protractor: The Hacker way (NG-MY 2019)Protractor: The Hacker way (NG-MY 2019)
Protractor: The Hacker way (NG-MY 2019)
Will Huang
?
邁向 Windows Server 應用程式現代化 (Windows Server Application Modernization)
邁向 Windows Server 應用程式現代化 (Windows Server Application Modernization)邁向 Windows Server 應用程式現代化 (Windows Server Application Modernization)
邁向 Windows Server 應用程式現代化 (Windows Server Application Modernization)
Will Huang
?
Angular 开发技巧 (2018 ngChina 开发者大会)
Angular 开发技巧 (2018 ngChina 开发者大会)Angular 开发技巧 (2018 ngChina 开发者大会)
Angular 开发技巧 (2018 ngChina 开发者大会)
Will Huang
?
Angular 7 全新功能探索 (Angular Taiwan 2018)
Angular 7 全新功能探索 (Angular Taiwan 2018)Angular 7 全新功能探索 (Angular Taiwan 2018)
Angular 7 全新功能探索 (Angular Taiwan 2018)
Will Huang
?
利用.NET Core 與 Azure Kubernetes Service (AKS) 建立高彈性 Microservices (Azure TechDay)
利用.NET Core 與 Azure Kubernetes Service (AKS) 建立高彈性 Microservices (Azure TechDay)利用.NET Core 與 Azure Kubernetes Service (AKS) 建立高彈性 Microservices (Azure TechDay)
利用.NET Core 與 Azure Kubernetes Service (AKS) 建立高彈性 Microservices (Azure TechDay)
Will Huang
?
AKS 與開發人員體驗 (Kubernetes 大講堂)
AKS 與開發人員體驗 (Kubernetes 大講堂)AKS 與開發人員體驗 (Kubernetes 大講堂)
AKS 與開發人員體驗 (Kubernetes 大講堂)
Will Huang
?
使用 ASP.NET Blazor 開發 SPA 網頁應用程式 (.NET Conf 2018)
使用 ASP.NET Blazor 開發 SPA 網頁應用程式 (.NET Conf 2018)使用 ASP.NET Blazor 開發 SPA 網頁應用程式 (.NET Conf 2018)
使用 ASP.NET Blazor 開發 SPA 網頁應用程式 (.NET Conf 2018)
Will Huang
?
全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
全新 Windows Server 2019 容器技術 及邁向與 Kubernetes 整合之路 (Windows Server 高峰會)
Will Huang
?
使用 C#/Razor 開發互動式 WebAssembly 網站 (Modern Web 2018)
使用 C#/Razor 開發互動式 WebAssembly 網站 (Modern Web 2018)使用 C#/Razor 開發互動式 WebAssembly 網站 (Modern Web 2018)
使用 C#/Razor 開發互動式 WebAssembly 網站 (Modern Web 2018)
Will Huang
?
以敏捷架构打造美国软体外包专案的经验谈
以敏捷架构打造美国软体外包专案的经验谈以敏捷架构打造美国软体外包专案的经验谈
以敏捷架构打造美国软体外包专案的经验谈
Will Huang
?
開發人員必須知道的 Kubernetes 核心技術 - Kubernetes Summit 2018
開發人員必須知道的 Kubernetes 核心技術 - Kubernetes Summit 2018開發人員必須知道的 Kubernetes 核心技術 - Kubernetes Summit 2018
開發人員必須知道的 Kubernetes 核心技術 - Kubernetes Summit 2018
Will Huang
?
迎接崭新的奥颈苍诲辞飞蝉容器丛集架构:碍耻产别谤苍别迟别蝉
迎接崭新的奥颈苍诲辞飞蝉容器丛集架构:碍耻产别谤苍别迟别蝉迎接崭新的奥颈苍诲辞飞蝉容器丛集架构:碍耻产别谤苍别迟别蝉
迎接崭新的奥颈苍诲辞飞蝉容器丛集架构:碍耻产别谤苍别迟别蝉
Will Huang
?

深入理解 CVE-2022-24765 漏洞的攻擊與防護策略 (Git v2.35.2)

  • 1. 搞定升級 Git 到 v2.35.2 之後的各種問題 深入理解 CVE-2022-24765 漏洞的攻擊與防護策略 多奇數位創意有限公司 技術總監 黃保翕(Will 保哥) https://blog.miniasp.com
  • 2. CVE-2022-24765 ? 在多使用者的電腦環境下,可能會被其他使用者在上層資料夾植入 .git 目錄,導致目前使用者在不知情的情況下讀取到不應該讀取 的 .gitconfig 設定值! ? 在現有的 Git 的工作目錄下操作 Git 比較沒問題,但是在工作目錄以外執 行 Git 就有可能遭受攻擊。 ? 最有效的解決方法是將 Git 升級到 v2.35.2 以上版本 ? 如果無法立刻升級,你可以這樣做 - 定義 GIT_CEILING_DIRECTORIES 環境變數,指向你可以信賴的最上層目錄 例如: C:Users (Windows) 或 /Users (macOS) 或 /home (Linux) - 避免使用可多人登入的電腦環境下工作 2
  • 3. 常用命令(命令提示字元) ? 取得目錄或檔案擁有者資訊 DIR /Q /AD ? 修改目錄或檔案擁有者 - icacls.exe api1 /setowner user1 3
  • 4. 常用命令(PowerShell) ? 取得 ACL (Access Control List) 資訊 Get-Acl * ? 取得所有目錄或檔案的 ACL 資訊 dir -Recurse | Get-Acl | Format-List ? 複製特定目錄或檔案的 ACL 資訊 Get-Acl -Path 'Path1' | Set-Acl -Path 'Path2' ? 修改目錄或檔案的擁有者 $Account = New-Object -TypeName System.Security.Principal.NTAccount -ArgumentList 'user1' $Acl = Get-Acl api1 $Acl.SetOwner($Account) Set-Acl -Path api1 -AclObject $Acl 4
  • 5. 相關連結 ? Git security vulnerability announced | The GitHub Blog ? [ANNOUNCE] Git v2.35.2 and below for CVE-2022-24765 (kernel.org) ? CVE - CVE-2022-24765 (mitre.org) ? Uncontrolled search for the Git directory in Git for Windows ? Git for Windows 2.35.2 (Download) ? Releases · git-for-windows/git (github.com) 5
  • 6. The Will Will Web 網路世界的學習心得與技術分享 http://blog.miniasp.com/ Facebook Will 保哥的技術交流中心 http://www.facebook.com/will.fans Twitter https://twitter.com/Will_Huang 6 聯絡資訊
AboutCopyright
? 2025 狠狠撸