为什么 Heroku 告诉我我的 git (2.1.0) 版本存在严重的安全漏洞？

Question

Heroku 工具带 似乎是最新的：

-bash> heroku --version
Your version of git is 2.1.0. Which has serious security vulnerabilities.
More information here: https://blog.heroku.com/archives/2014/12/23/update_your_git_clients_on_windows_and_os_x
heroku-toolbelt/3.22.1 (x86_64-darwin10.8.0) ruby/1.9.3

根据 homebrew，git 是当前的：

-bash> brew outdated git

-bash> which git
/usr/local/bin/git

-bash> git --version
git version 2.1.0

在撰写本文时，我意识到 the current source code release of Git is version 2.2.1 - 但这是非常前沿的，甚至是 the official Git website is shipping version 2.0.1 of Git for the Mac platform。

Answer 1

最近在 Git 中发现（并随后修复）了一个影响不区分大小写文件系统的漏洞；您可以在 Junio Hamano（Git 的当前维护者）的 this blogpost 和 Chris's answer 中找到有关它的更多详细信息。

Heroku 实用程序正在检测您正在运行的 Git (v2.1.0) 版本存在相关漏洞，因此您最好升级，以免成为不怀好意的人的牺牲品。

在撰写本文时，最新版本的 Git 是 v2.2.1。由于您使用的是 Homebrew，因此可以通过运行来升级到该版本

brew doctor       # checks for potential problems
brew update       # fetches the latest list of formulas
brew upgrade git  # self-explanatory

（请注意，如果您有一段时间没有运行 brew update，Homebrew 将不会检测到新版本可用。）

至于……

即使是官方的 Git 网站也发布了适用于 Mac 平台的 Git 2.0.1 版本

请注意，Git installer for Mac OS X 总是比当前 Git 版本（可通过 Homebrew 获得）落后几个版本。这是使用包管理器而不是安装程序的另一个原因：从烤箱中取出最新版本的 Git（和其他软件）！

Answer 2

存在一个严重漏洞 announced (and fixed) recently，影响 Windows 和 Mac 版本的 Git。

Atlassian 有一个good writeup：

一个严重的漏洞是identified in Git last week。这已在所有维护的 Git 版本（v1.8.5.6、v1.9.5、v2.0.5、v2.1.4 和 v2.2.1）中得到修复，因此升级是保护自己的最佳方式。然而，明智的第二步是保护您的 Git 托管服务器，以便自动拒绝包含恶意树的推送。这将防止攻击者利用尚未升级其本地 Git 版本的用户。

同一篇文章继续解释如何保护自己。