SSH协议URL命令执行漏洞分析与防护指南<\/h1>

一、漏洞概述<\/h2>

1.1 漏洞基本信息<\/h3>

漏洞类型<\/strong>：客户端命令执行漏洞<\/li>
影响协议<\/strong>：SSH协议URL处理<\/li>

漏洞编号<\/strong>：

Git: CVE-2017-1000117<\/li>
Apache Subversion: CVE-2017-9800<\/li>
Mercurial: CVE-2017-1000116<\/li> <\/ul> <\/li>
发现者<\/strong>：GitLab的Brian Neel、Recurity Labs的Joan Schneeweiss和GitHub的Jeff King<\/li> <\/ul>
1.2 漏洞影响范围<\/h3>

Git<\/strong>：<\/p>

Git < v2.7.6<\/li>
Git v2.8.6<\/li>
Git v2.9.5<\/li>
Git v2.10.4<\/li>
Git v2.11.3<\/li>
Git v2.12.4<\/li>
Git v2.13.5<\/li> <\/ul> <\/li>

Apache Subversion<\/strong>：<\/p>

1.0.0 through 1.8.18 (inclusive)<\/li>
1.9.0 through 1.9.6 (inclusive)<\/li>
1.10.0-alpha3<\/li> <\/ul> <\/li>

Mercurial<\/strong>：<\/p>

Mercurial < 4.3<\/li> <\/ul> <\/li> <\/ul>
1.3 漏洞利用条件<\/h3>

攻击者构造恶意SSH URL<\/li>
受害者访问该URL或执行相关操作<\/li>
通常结合社会工程学进行远程钓鱼攻击<\/li> <\/ul>
二、漏洞原理深度分析<\/h2>
2.1 漏洞核心机制<\/h3>
该漏洞源于SSH客户端对URL中hostname部分的解析缺陷。当hostname以"-"开头时，SSH客户端会将其误认为命令行选项而非主机名。<\/p>
2.2 技术细节<\/h3>

恶意URL构造<\/strong>：<\/p>

攻击者可构造形如ssh:\/\/-oProxyCommand=恶意命令\/<\/code>的URL<\/li>
示例：ssh:\/\/-oProxyCommand=gnome-calculator\/cert<\/code><\/li> <\/ul> <\/li>
Git处理流程<\/strong>：<\/p> git clone<\/code>操作会调用git\/connect.c<\/code>中的git_connect()<\/code>函数<\/li> 该函数解析URL并提取协议部分<\/li> 对于SSH协议，会拼接本地SSH路径和host部分<\/li> 最终通过start_command()<\/code>执行命令<\/li> <\/ul> <\/li> 命令执行点<\/strong>：<\/p> int<\/span> start_command(struct<\/span> child_process *<\/span>cmd) <\/span><\/span><\/code><\/pre> 将传入的cmd参数处理后赋值给argv<\/li> 通过execve<\/code>执行命令<\/li> 执行内容为\/usr\/bin\/ssh <\/code>ssh_host path<\/code><\/li> <\/ul> <\/li> SSH选项注入<\/strong>：<\/p> SSH的-oProxyCommand<\/code>选项可执行任意命令<\/li> 例如：ssh -oProxyCommand=gnome-calculator xxx<\/code>会执行计算器<\/li> <\/ul> <\/li> <\/ol> 2.3 典型利用场景<\/h3> 通过.gitmodules文件<\/strong>：<\/p> [submodule "git"]<\/span> <\/span><\/span>path<\/span> =<\/span> git<\/span> <\/span><\/span>url<\/span> =<\/span> ssh:\/\/-oProxyCommand=sh<payload\/wat<\/span> <\/span><\/span><\/code><\/pre> 当执行git clone --recurse-submodules<\/code>时会触发漏洞<\/li> <\/ul> <\/li> 直接克隆恶意仓库<\/strong>：<\/p> git clone ssh:\/\/-oProxyCommand=<\/span>恶意命令\/cert <\/span><\/span><\/code><\/pre><\/li> <\/ol> 三、漏洞验证与复现<\/h2> 3.1 实验环境准备<\/h3> 确认Git版本：<\/p> git --version <\/span><\/span><\/code><\/pre>确认版本在受影响范围内<\/p> <\/li> 创建验证目录：<\/p> mkdir -p \/var\/www\/html <\/span><\/span><\/code><\/pre><\/li> <\/ol> 3.2 漏洞复现步骤<\/h3> 克隆恶意仓库：<\/p> git clone --recurse-submodules "http:\/\/172.16.12.2:8080\/root\/CVE-2017-1000117.git"<\/span> <\/span><\/span><\/code><\/pre> 仓库中包含恶意.gitmodules<\/code>文件<\/li> <\/ul> <\/li> 验证命令执行：<\/p> 恶意命令示例：id > \/var\/www\/html\/vuls<\/code><\/li> 检查命令执行结果： ls -al \/var\/www\/html\/vuls <\/span><\/span>cat \/var\/www\/html\/vuls <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ol> 四、漏洞修复方案<\/h2> 4.1 官方修复措施<\/h3> Git在v2.14.1版本中进行了修复：<\/p> 在git_connect()<\/code>函数中添加了对ssh_host<\/code>的验证<\/li> 新增验证函数检查host第一个字符是否为"-"<\/li> 对传入的host和port进行了全面过滤<\/li> <\/ol> 4.2 升级建议<\/h3> Git<\/strong>：升级到v2.14.1或更高版本<\/li> Apache Subversion<\/strong>：升级到1.8.19<\/li> 或1.9.7版本<\/li> <\/ul> <\/li> Mercurial<\/strong>：升级到4.3<\/li> 或4.2.3版本<\/li> <\/ul> <\/li> <\/ul> 4.3 临时缓解措施<\/h3> 避免使用--recurse-submodules<\/code>选项<\/li> 谨慎处理来源不明的SSH URL<\/li> 对开发团队进行安全意识培训<\/li> <\/ol> 五、安全建议<\/h2> 版本管理<\/strong>：<\/p> 定期检查并更新版本控制系统<\/li> 建立软件资产清单，跟踪所有开发工具版本<\/li> <\/ul> <\/li> 代码审查<\/strong>：<\/p> 审查所有.gitmodules文件内容<\/li> 特别关注SSH URL格式<\/li> <\/ul> <\/li> 权限控制<\/strong>：<\/p> 限制开发环境的命令执行权限<\/li> 使用最小权限原则运行Git客户端<\/li> <\/ul> <\/li> 监控措施<\/strong>：<\/p> 监控异常的命令执行行为<\/li> 记录和分析Git操作日志<\/li> <\/ul> <\/li> 安全意识<\/strong>：<\/p> 培训开发人员识别恶意URL<\/li> 建立安全的代码获取流程<\/li> <\/ul> <\/li> <\/ol> 六、总结<\/h2> 该SSH协议URL命令执行漏洞影响广泛，涉及多个主流版本控制系统。攻击者可通过精心构造的SSH URL在受害者机器上执行任意命令，危害严重。各组织应及时升级受影响软件，同时加强开发环境的安全防护措施，防范此类攻击。<\/p>

SSH协议URL命令执行漏洞分析与防护指南<\/h1>

一、漏洞概述<\/h2>

二、漏洞原理深度分析<\/h2>

2.1 漏洞核心机制<\/h3> 该漏洞源于SSH客户端对URL中hostname部分的解析缺陷。当hostname以"-"开头时，SSH客户端会将其误认为命令行选项而非主机名。<\/p>

三、漏洞验证与复现<\/h2>

四、漏洞修复方案<\/h2>

2.1 漏洞核心机制<\/h3>
该漏洞源于SSH客户端对URL中hostname部分的解析缺陷。当hostname以"-"开头时，SSH客户端会将其误认为命令行选项而非主机名。<\/p>