Azure Pipelines Agent 中的 Git 安全问题分析与解决方案

近期，Git 项目披露了多个需要关注的安全问题（CVE-2024-32002、CVE-2024-32004 和 CVE-2024-32465），这些安全问题可能影响使用 Git 版本控制系统的各类平台，包括 Azure Pipelines Agent。作为持续集成/持续交付（CI/CD）流水线的核心组件，Azure Pipelines Agent 的安全性至关重要。

安全问题技术分析

这些安全问题主要涉及 Git 在处理特定仓库结构时的缺陷：

1. CVE-2024-32002（CVSS 9.1）：攻击者可以构造包含子模块的仓库，导致 Git 将文件写入.git/目录而非子模块的工作树中。这使得攻击者能够在克隆操作期间执行特定代码，而用户无法检查正在执行的代码。

2. CVE-2024-32004（CVSS 8.2）：在多用户机器上，攻击者可创建看似缺少对象的本地仓库部分克隆。当用户克隆此仓库时，会导致 Git 以克隆用户的完整权限执行特定代码。

3. CVE-2024-32465（CVSS 7.4）：该问题允许攻击者绕过克隆不受信任仓库的保护机制。即使获取包含 Git 仓库完整副本的.zip文件，默认情况下也不应信任其安全性，因为可能配置了在该仓库上下文中运行的钩子。

对 Azure Pipelines Agent 的影响

Azure Pipelines Agent 作为执行构建和部署任务的关键组件，通常会处理来自各种源的 Git 仓库。如果 Agent 使用的 Git 版本低于 2.45.1，则存在被这些安全问题影响的风险。特别是在处理来自不受信任源的仓库时，攻击者可能通过这些安全问题在 Agent 上执行特定操作，进而影响整个 CI/CD 流水线。

解决方案与缓解措施

Azure Pipelines Agent 团队已采取以下措施：

1. 更新存在问题的 Git 2.39.1 版本：在最新的 Agent 发布中，团队已更新存在问题的 Git 版本。

2. 版本更新部署：新版本的 Agent 已完成部署，确保所有托管环境都使用安全的 Git 版本。

对于使用自托管 Agent 的用户，建议采取以下措施：

• 立即将自托管 Agent 更新至最新版本
• 确保底层系统上的 Git 版本升级至 2.45.1 或更高版本
• 在处理来自不受信任源的仓库时保持警惕

最佳实践建议

1. 定期更新：保持 Agent 和所有相关组件（包括 Git）处于最新版本。

2. 最小权限原则：配置 Agent 以最小必要权限运行，限制潜在问题的影响范围。

3. 源控制安全：仅从可信源克隆仓库，并对所有外部代码进行安全检查。

4. 监控与审计：实施完善的日志记录和监控机制，及时发现异常行为。

通过采取这些措施，用户可以显著降低因 Git 安全问题导致的风险，确保 CI/CD 流水线的安全可靠运行。