Corrective releases sa gipang-apod-apod nga source control system Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 gipatik ang .2.27.1, 2.28.1, 2.29.3 ug 2021, nga nag-ayo sa usa ka kahuyang (CVE-21300-2.15) nga nagtugot sa remote code execution sa dihang nag-clone sa repository sa tig-atake gamit ang "git clone" nga sugo. Ang tanan nga pagpagawas sa Git sukad sa bersyon XNUMX apektado.
Ang problema mahitabo sa diha nga ang paggamit sa mga deferred checkout nga mga operasyon, nga gigamit sa pipila ka mga pagsala sa paglimpyo, sama niadtong gi-configure sa Git LFS. Ang pagkahuyang mahimo ra mapahimuslan sa mga sistema sa file nga dili sensitibo sa kaso nga nagsuporta sa simbolikong mga link, sama sa NTFS, HFS+ ug APFS (ie sa mga platform sa Windows ug macOS).
Isip usa ka solusyon sa seguridad, mahimo nimong i-disable ang pagproseso sa symlink sa git pinaagi sa pagpadagan sa βgit config βglobal core.symlinks falseβ, o pag-disable sa suporta sa filter sa proseso gamit ang command βgit config βshow-scope βget-regexp 'filter\.. * \.proseso'". Girekomenda usab nga likayan ang pag-clone sa mga wala mapamatud-an nga mga repositoryo.
Source: opennet.ru