Versions correctives del sistema de control de font distribuït Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 s'han publicat .2.27.1, 2.28.1, 2.29.3 i 2021, que solucionava una vulnerabilitat (CVE-21300-2.15) que permetia l'execució de codi remota en clonar el repositori d'un atacant mitjançant l'ordre "git clone". Totes les versions de Git des de la versió XNUMX estan afectades.
El problema es produeix quan s'utilitzen operacions de pagament ajornat, que s'utilitzen en alguns filtres de neteja, com els configurats a Git LFS. La vulnerabilitat només es pot explotar en sistemes de fitxers que no distingeixen entre majúscules i minúscules que admeten enllaços simbòlics, com ara NTFS, HFS+ i APFS (és a dir, en plataformes Windows i macOS).
Com a solució alternativa de seguretat, podeu desactivar el processament d'enllaços simbòlics a git executant “git config —global core.symlinks false”, o desactivar el suport del filtre de procés mitjançant l'ordre “git config —show-scope —get-regexp 'filter\.. * \.procés'". També es recomana evitar la clonació de repositoris no verificats.
Font: opennet.ru