الإصدارات التصحيحية لنظام التحكم بالمصادر الموزعة Git 2.30.2، 2.17.6، 2.18.5، 2.19.6، 2.20.5، 2.21.4، 2.22.5، 2.23.4، 2.24.4، 2.25.5، 2.26.3 تم نشر .2.27.1 و2.28.1 و2.29.3 و2021، والتي أصلحت ثغرة أمنية (CVE-21300-2.15) تسمح بتنفيذ تعليمات برمجية عن بعد عند استنساخ مستودع مهاجم باستخدام أمر "git clone". تتأثر جميع إصدارات Git منذ الإصدار XNUMX.
تحدث المشكلة عند استخدام عمليات السحب المؤجلة، والتي يتم استخدامها في بعض عوامل تصفية التنظيف، مثل تلك التي تم تكوينها في Git LFS. لا يمكن استغلال الثغرة الأمنية إلا على أنظمة الملفات غير الحساسة لحالة الأحرف التي تدعم الروابط الرمزية، مثل NTFS وHFS+ وAPFS (أي على منصات Windows وmacOS).
كحل بديل للأمان، يمكنك تعطيل معالجة الارتباط الرمزي في git عن طريق تشغيل "git config —global core.symlinks false"، أو تعطيل دعم عامل تصفية العملية باستخدام الأمر "git config —show-scope —get-regexp 'filter\.. * \.عملية'". يوصى أيضًا بتجنب استنساخ المستودعات التي لم يتم التحقق منها.
المصدر: opennet.ru