Résolution
Mise à jour pour Microsoft Visual Studio 2013 (KB3023302)
Télécharger la mise à jour pour Microsoft Visual Studio 2013 résoudre un problème dans le Git.
Fonctionne de la correction
Pour les produits de Team Foundation Server (TFS), le correctif rejette tout envoi (téléchargement) qui contient un composant de fichier ou de chemin d’accès qui correspond à la chaîne « .git. Cela empêche l’injection de fichiers incorrects dans les pensions hébergées.
Pour le client de Visual Studio, le correctif empêche n’importe quel fichier d’extrait dans le répertoire .git. Cela empêche les pensions qui contiennent des fichiers incorrects d’affecter l’ordinateur de l’utilisateur local.
Le problème dans le Git
Il s’agit d’un problème qui se manifeste dans tout l’écosystème Git et qui n’est pas prise en charge de Microsoft pour les référentiels Git dans nos plates-formes de développement unique. Néanmoins, nous a pris des mesures importantes et proactives pour s’assurer que les clients Microsoft qui utilisent les référentiels Git sont protégés contre ce problème.
Le problème qui affecte tous les clients Git a été découvert maintainers le Git de base. L’introduction d’un fichier dans un mis en pension Git permet le problème. Le fichier est nommé de manière à ce que, lorsqu’un utilisateur télécharge les modifications apportées à un référentiel distant, un fichier spécialement conçu pourrait remplacer en mode silencieux de fichier de configuration de l’utilisateur. Fichier de configuration de l’utilisateur réside en dehors du référentiel. En remplaçant ce fichier par un fichier incorrect, les commandes git peuvent être remappées pour exécuter des commandes arbitraires qui s’exécutent sous les informations d’identification de l’utilisateur.
Visual Studio 2013 et Visual Studio 2013 de TFS ne sont pas directement concernés par ce problème. Visual Studio et TFS n’exécutez pas les commandes arbitraires à partir des métadonnées .git. Toutefois, la récupération d’une mis en pension qui contient un fichier spécialement conçu pourrait Visual Studio de remplacer certaines parties des métadonnées et .git, les outils de ligne de commande de Git pour Windows pour le problème de l’exposition. Pour empêcher la propagation de ce problème a été corrigé proactive, TFS.
Cause
Chaque base de données locale de Git est conservée sur un disque dans le dossier racine de la mis en pension dans un répertoire .git masqués. Lorsque les fichiers sont en cours extraits (par exemple, disposée sur le disque local après le téléchargement), un fichier nommé «. GIT/config » est placé à l’intérieur de la base de données Git. Une comparaison respectant la casse pour « .git est partiellement responsable de ce problème. En outre, la gestion automatique des chemins d’accès sur les plates-formes Windows développe les modèles de fichier affecté à bien plus d’explicitement nommées «. Modèle GIT/config.
État
Microsoft a confirmé l'existence de ce problème dans les produits Microsoft répertoriés dans la section « S'applique à ».
