libgit2 0.27.1 发布了,此版本这是一个安全发布,修复了对子模块名称的验证不足的问题(CVE-2018-11235)。
当子模块名称来自不可信的“.gitmodules”文件时,我们将其盲目追加到 $GIT_DIR/ 模块中,以构建子模块存储库的最终路径。如果名称包含../之类的路径,那么将能够逃脱仓库并以任意路径写入数据。跟随 Git,现在强制执行一些子模块名称的规则,使 Libgit2 忽略这些恶意名称。
另外,libgit2 不受 CVE-2018-11233 的影响。
详情见发布公告。
libgit2 是一个可移植、纯 C 语言实现的 Git 核心开发包,你可以使用它来编写自定义的 Git 应用。
下载地址: