Апублікаваныя карэкціруючыя выпускі размеркаванай сістэмы кіравання зыходнымі тэкстамі Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4. .2.25.5, 2.26.3, 2.27.1 і 2.28.1, у якіх ухіленая ўразлівасць (CVE-2.29.3-2021), якая дазваляе арганізаваць выдаленае выкананне кода пры кланаванні рэпазітара зламысніка з выкарыстаннем каманды «git clone». Уразлівасці схільныя ўсе выпускі Git, пачынальна з версіі 21300.
Праблема выяўляецца пры выкарыстанні адкладзеных аперацый checkout, якія прымяняюцца ў некаторых фільтрах ачысткі, напрыклад, якія наладжваюцца ў Git LFS. Эксплуатацыя ўразлівасці магчымая толькі ў файлавых сістэмах, якія не адрозніваюць рэгістр знакаў, але падтрымліваюць сімвалічныя спасылкі, такіх як NTFS, HFS+ і APFS (г.зн. на платформах Windows і macOS).
У якасці абыходнага шляху абароны можна адключыць у git апрацоўку сімвалічных спасылак, выканаўшы "git config -global core.symlinks false", або адключыць падтрымку працэсаў-фільтраў пры дапамозе каманды "git config -show-scope -get-regexp 'filter\.". *\.process'». Таксама рэкамендуецца пазбягаць кланавання неправераных рэпазітароў.
Крыніца: opennet.ru