GitHub 發了一篇公告說明這件事情:「Vulnerability announced: update your Git clients」,而 Git 官方的公告在這邊:「[ANNOUNCE] Git v2.2.1 (and updates to older maintenance tracks)」。
這次的問題起因很好理解,就是有人可以在 repository 裡面放 .GIT
這樣的目錄名稱,配合將大小寫視為一樣的檔案系統 (Windows 系列用的 FAT 與 NTFS、Mac 用的 HFS+),裡面就可以放各種設定值,有機會在 checkout 下來時就執行,或是透過其他的 git 指令執行。
GitHub 在 server 端擋下來了,不過還是建議 client 端趕快更新到最新版,這些版本會從 client 端擋下這些路徑。
這次 CVE 編號是 CVE-2014-9390,不過 NIST 的資料庫裡面沒有列出來?