Ang usa ka kritikal nga kahuyangan nahibal-an sa Git (CVE-2021-29468), nga makita lamang kung magtukod alang sa Cygwin environment (usa ka librarya alang sa pagsundog sa batakang Linux API sa Windows ug usa ka set sa standard nga mga programa sa Linux para sa Windows). Gitugotan sa pagkahuyang ang code sa tig-atake nga ipatuman kung makuha ang datos ("git checkout") gikan sa usa ka tipiganan nga kontrolado sa tig-atake. Ang problema naayo sa git 2.31.1-2 nga pakete alang sa Cygwin. Sa panguna nga proyekto sa Git, ang problema wala pa masulbad (dili tingali nga adunay usa nga nagtukod git alang sa Cygwin gamit ang ilang kaugalingon nga mga kamot, imbes nga mogamit usa ka andam nga pakete).
Ang pagkahuyang tungod sa pagproseso ni Cygwin sa palibot ingon usa ka sistema nga sama sa Unix kaysa sa Windows, nga wala’y mga pagdili sa paggamit sa karakter nga '\' sa agianan, samtang sa Cygwin, sama sa Windows, kini nga karakter mahimong gigamit sa pagbulag sa mga direktoryo. Ingon usa ka sangputanan, pinaagi sa paghimo sa usa ka espesyal nga gibag-o nga repositoryo nga adunay sulud nga simbolikong mga link ug mga file nga adunay karakter nga backslash, posible nga i-overwrite ang mga arbitraryong file kung gi-load kini nga repository sa Cygwin (usa ka parehas nga kahuyangan ang giayo sa Git para sa Windows sa 2019). Pinaagi sa pag-angkon sa abilidad sa pag-overwrite sa mga file, ang usa ka tig-atake mahimong ma-override ang mga tawag sa hook sa git ug magpahinabog arbitraryong code nga ipatuman sa sistema.
Source: opennet.ru