【PConline資訊】GitHub是面向全球開發人員的首選代碼共享和托管服務。雖然歐盟尚未最終確定該交易，但該公司在6月被微軟收購，作價75億美元。今天，GitHub宣布了他們系統中的一個漏洞，允許任意代碼執行的安全漏洞的攻擊。現在已經解決了這個問題，目前只有Unix平臺受到了影響。

　　GitHub的安全列表表示，如果執行了特定的命令，即“gitclone--recurse-submodules”，其軟件中的漏洞允許在客戶端平臺上執行任意代碼。它解釋說：

　　運行“gitclone--recurse-submodules”時，Git會解析提供的.gitmodules文件中的URL字段，并將其作為參數盲目地傳遞給“gitclone”子進程。如果URL字段設置為以短劃線開頭的字符串，則此“gitclone”子進程將URL解釋為選項。這可能導致執行超級項目中的任意腳本作為運行“gitclone”的用戶。

　　在一篇博客文章中，微軟澄清了這個問題僅僅影響基于Unix的平臺，如Linux和macOS，或適用于在Windows子系統Linux（WSL）的Linux發行版中運行git的人。這是因為在利用漏洞時寫入磁盤的文件名稱中需要冒號，并且由于Windows文件系統不支持冒號，因此GitforWindows不會寫入該文件。

　　該公司還注意到其在任何平臺（macOS，Windows）上使用Git的VisualStudio產品不受影響，但GitHub仍然建議用戶升級到Git版本2.17.2,2.18.1和2.19.1。