Korrektiewe vrystellings van die verspreide bronbeheerstelsel Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3. is gepubliseer .2.27.1, 2.28.1, 2.29.3 en 2021, wat 'n kwesbaarheid (CVE-21300-2.15) reggestel het wat die uitvoering van afstandkode-uitvoering moontlik maak wanneer 'n aanvaller se bewaarplek gekloon word met die "git clone"-opdrag. Alle vrystellings van Git sedert weergawe XNUMX word geraak.
Die probleem kom voor wanneer uitgestelde betaalhandelinge gebruik word, wat in sommige opruimfilters gebruik word, soos dié wat in Git LFS opgestel is. Die kwesbaarheid kan slegs uitgebuit word op hoofletter-onsensitiewe lêerstelsels wat simboliese skakels ondersteun, soos NTFS, HFS+ en APFS (d.w.s. op Windows- en macOS-platforms).
As 'n sekuriteitsoplossing kan jy simlink-verwerking in git deaktiveer deur “git config —global core.symlinks false” uit te voer, of prosesfilterondersteuning deaktiveer deur gebruik te maak van die opdrag “git config —show-scope —get-regexp 'filter\.. * \.verwerk'". Dit word ook aanbeveel om die kloning van ongeverifieerde bewaarplekke te vermy.
Bron: opennet.ru