Qué hacer con la vulnerabilidad reciente de ejecución remota de código en git (en El Capitan)

El reciente error de ejecución remota de código en git parece bastante serio. La forma en que leo esto es que si estoy ejecutando un cliente de git antes de 2.7.1, soy susceptible a la ejecución remota de código si uso git para interactuar con un repository malicioso (o comprometido). Parece que una actualización manual del cliente de git está en order, pero sin root evita que funcionen cosas como brew. (Actualmente estoy en el último Xcode estable 7.2.1)

¿Cuál es la mejor manera de avanzar bajo El Capitán? ¿Desactivar rootless e instalar con brew? Instalar un cliente git actualizado de la fuente? (el último binary estable parece ser anterior a 2.7.1) ¿Hay un cliente git actualizado en una versión más nueva de Xcode?

  • Método abreviado de keyboard para desactivar el keyboard
  • Reiniciar service AFP / service de uso compartido de files
  • MBPr con El Capitan se congela en o justo después del inicio de session
  • ¿Cómo puedo cambiar el service de files SMB a SMB1?
  • No se puede establecer el background de escritorio en la aplicación de pantalla completa
  • ¿Cómo puedo listr la tabla de particiones de una image de disco desmontada?
  • El misterio de la pérdida de correo electrónico: ¿por qué Mail.app no ​​puede encontrar algunos correos en el buzón?
  • Mac se bloquea durante el asistente de arranque Boot Camp Particionamiento de disco
  • ¿Cómo confirmar la request de cambio de nombre de Finder usando el keyboard?
  • El Capitán, haz check, DYLD_LIBRARY_PATH
  • Apple Mail no eliminará los posts
  • ¿Por qué Spotlight no puede encontrar una aplicación que sé que hay allí?
  • 3 Solutions collect form web for “Qué hacer con la vulnerabilidad reciente de ejecución remota de código en git (en El Capitan)”

    Si usas Homebrew es bastante fácil:

    brew upgrade git which git => /usr/local/bin/git git --version => git version 2.7.3 

    Hecho.

    Brew nunca funciona para replace o parchar una versión del sistema operativo: está diseñada conscientemente para que solo coloque binarys al lado de los de Apple y no en lugar de.

    Si quiere asegurarse de que ningún progtwig llame a /usr/bin/git Apple o no lo llame, estos pasos lograrán ese objective de reforzar sus instalaciones 10.11:

    1. Ejecute OS X Recovery manteniendo presionado Command-R mientras la Mac se está iniciando.
    2. Use el menu de Utilidades para ejecutar Terminal
    3. csrutil disable
    4. reiniciar
    5. Ingrese al modo de usuario único manteniendo presionado Command-S mientras Mac se reinicia.
    6. mount -uw /
    7. rm / usr / bin / git
    8. detener
    9. Repita el paso de recuperación de OS X, abra Terminal y ejecute csrutil enable
    10. reiniciar

    En este punto, se elimina el git de Apple.

    Buscar otros binarys de git :

    • /Library/Developer/CommandLineTools/usr/bin/git es 2.5.4
    • /Applications/Xcode.app/Contents/Developer/usr/bin/git es 2.5.4

    Tiene un riesgo muy leve ya que solo ejecutó sin SIP en modo de usuario único el time suficiente para eliminar el binary. También puede get git 2.7.4 de brew a partir del 18 de marzo de 2016 si lo desea:

     brew install git git --version 

    Querrás ver todas las actualizaciones de OS X para asegurarte de que no muestren otra copy de git que esté parcheada más abajo de lo que deseas. Para la mayoría de las personas, me centraría solo en conectarme a serveres que están parcheados y / o que no son maliciosos. Solo que el git esté sentado allí es de bajo riesgo en mi lectura de la situación.

    Algunos otros hilos de interés:

    • Utilice Git descargado en lugar de Git preinstalado
    • Actualización de security para git en mac
    • ¿Cómo actualizar correctamente git en mac?

    No tengo ningún flujo de trabajo en el que otras herramientas llamen a git, así que estoy de acuerdo con simplemente instalar una versión parchada y usarla.

    Hice lo siguiente:

    • Clonado del repository oficial de git
    • Instalado con make && make install
    • Y antes de ~ / bin a mi path en .profile

    Eso debería funcionar bien para mí, creo.

    En cuanto a solo interactuar con fonts confiables -seguro, eso es ideal, pero no hay excusa para usar un software conocido y vulnerable. Hay muchos ejemplos de fonts confiables comprometidas. En mi opinión, no es deseable tener un git clone capaz de ejecutar código arbitrario.

    Loving Apple Products like poisoning (iPhone, iPad, iMac, Macbook, iWatch).