Актуализация на Git за коригиране на уязвимостта при отдалечено изпълнение на код

Коригиращи версии на системата за контрол на разпределения код Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 бяха публикувани .2.27.1, 2.28.1, 2.29.3 и 2021, които поправиха уязвимост (CVE-21300-2.15), която позволява отдалечено изпълнение на код при клониране на хранилище на атакуващ чрез командата „git clone“. Всички версии на Git от версия XNUMX са засегнати.

Проблемът възниква при използване на операции за отложено плащане, които се използват в някои филтри за почистване, като тези, конфигурирани в Git LFS. Уязвимостта може да бъде използвана само във файлови системи, които не са чувствителни към малки и големи букви и поддържат символни връзки, като NTFS, HFS+ и APFS (т.е. на платформи Windows и macOS).

Като заобиколно решение за сигурност можете да деактивирате обработката на символни връзки в git, като изпълните „git config —global core.symlinks false“ или да деактивирате поддръжката на филтриране на процеса с помощта на командата „git config —show-scope —get-regexp 'filter\.. * \.процес'". Също така се препоръчва да се избягва клонирането на непроверени хранилища.

Източник: opennet.ru