Versioni currettivi di u sistema di cuntrollu di fonte distribuitu Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 sò stati publicati .2.27.1, 2.28.1, 2.29.3 è 2021, chì hà riparatu una vulnerabilità (CVE-21300-2.15) chì permette l'esekzione di codice remota quandu clone un repository di l'attaccante cù l'ordine "git clone". Tutte e versioni di Git da a versione XNUMX sò affettate.
U prublema si trova quandu si usa l'operazione di pagamentu differita, chì sò usati in certi filtri di pulizia, cum'è quelli cunfigurati in Git LFS. A vulnerabilità pò esse sfruttata solu nantu à i sistemi di fugliale insensibili à u casu chì supportanu ligami simbolichi, cum'è NTFS, HFS + è APFS (vale à dì nantu à e plataforme Windows è macOS).
Cum'è una soluzione di sicurezza, pudete disattivà u processu di ligami simbolici in git eseguendu "git config -global core.symlinks false", o disattivà u supportu di filtru di prucessu utilizendu u cumandimu "git config -show-scope -get-regexp 'filter\.. * \.prucessu'". Hè ancu cunsigliatu per evità a clonazione di repositori micca verificati.
Source: opennet.ru