[git]SSH命令注入漏洞

[git]SSH命令注入漏洞

名称

git

版本

    2.14.1--

说明

恶意人员可以通过巧妙构造“ssh://…”链接,让受害人在执行程序等情况下访问该恶意链接,从而达到命令执行的目的。

原因

GIT此版本之前的源码中,执行'git clone ssh://...'时,会在本地执行'ssh ...'的bash命令,而,ssh - oProxyCommand可执行本地bash,达到执行任意代码的目的.

例子

        打开vi
    
	git clone ssh://-oProxyCommand=vi

更多内容请移步 http://bobao.360.cn/learning/detail/4244.html
以上内容均为个人观点,欢迎批评指正.

你可能感兴趣的:(安全)