关于go-git拒绝服务漏洞（CVE-2023-49568）的安全预警

一、 基本情况

go-git是一个用Go语言编写的高度可扩展的 git 实现库。

二、 漏洞描述

go-git中修复了一个拒绝服务漏洞（CVE-2023-49568），其CVSS评分为7.5。

该漏洞存在于go-git 4.0.0 - 5.11之前的版本中，威胁者可提供恶意制作的 Git 服务器响应来执行拒绝服务攻击，从而导致go-git 客户端资源耗尽。

三、 影响范围

4.0.0<= go-git版本< 5.11.0

四、 修复建议

目前该漏洞已经修复，受影响用户可升级到go-git版本5.11.0。

下载链接：

https://github.com/go-git/go-git/releases

临时措施：

仅使用 go-git 支持的内存文件系统的应用程序不受该漏洞影响。

如果go-git无法升级到最新版本，可将其使用限制为仅限值得信任的git服务器。

五、 参考链接

https://github.com/go-git/go-git/security/advisories/GHSA-mw99-9chc-xw7r

https://nvd.nist.gov/vuln/detail/CVE-2023-49568