OS X中的过时的GIT版本将开发人员面临风险

OS X命令行开发人员工具包括旧版本的GIT源代码管理系统，将Mac用户公开到远程代码执行攻击。

Git客户端允许开发人员与源代码存储库进行交互。默认情况下未安装在Mac OS X上，但它包含在Xcode的命令行工具包中，Apple集成开发环境（IDE）。

创建OS X或IOS应用程序的软件开发人员可能使用Xcode并在其Mac上安装Apple的命令行工具包。最新版本的此套餐包括12月发布的Git版本2.6.4。

问题是Git 2.6.4有两个上个月公开披露的严重漏洞。缺陷，被跟踪为CVE-2016-2315和CVE-2016-2324，影响Git上的客户端和服务器部署。在客户端，当克隆具有大文件名或大量嵌套树的存储库时，它们可能会导致远程代码执行。

该漏洞在3月17日发布的Git 2.7.4中固定在Git 2.7.4中，但一个月后，Apple仍然没有发布到其命令行工具包的更新。

甚至更糟糕的是，由于系统管理专家Rachel Kroll，因此在OS X El Capitan（10.11）中，因为系统X El Capitan（10.11），因此，由于系统管理专家Rachel Kroll，因此在OS X EL Capitan（10.11）中，用户可以“T即可轻松地更换或更新。这是因为Apple的最新操作系统X版本包括系统完整性保护（SIP），即使具有root权限，也可以防止在某些受保护的目录中修改程序的机制。

“也许你想通过禁用它，直到你能够禁止别的东西来保护你的用户，”Kroll在一个博客文章中说道。“好吧，对不起。您也可以“t”chmod -x“至少将其保留使用。它也会失败。“

幸运的是，有一个解决方法，因为/ usr / bin / git只是一个聪明的链接到/ xcode.app/contents/developer/usr/bin，它可以修改。在后者二进制文件上运行“chmod-x”将删除其执行权限，并确保不必意外运行用户或程序。

然后，您必须等到Apple将修补版本释放为未来命令行工具包的一部分。但是，Git对于开发工具很重要，并且防止其使用可能会影响工作流程。

Apple并没有立即回复该公司分销的Git二进制计划计划的询问。

“如果你依靠这样的机器，我真的很抱歉，”Kroll说。“我为你觉得。”