Opravná vydání distribuovaného systému řízení zdrojů Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3. byly publikovány .2.27.1, 2.28.1, 2.29.3 a 2021, které opravily chybu zabezpečení (CVE-21300-2.15), která umožňuje vzdálené spuštění kódu při klonování úložiště útočníka pomocí příkazu „git clone“. Ovlivněna jsou všechna vydání Git od verze XNUMX.
Problém nastává při použití odložených operací pokladny, které se používají v některých čisticích filtrech, jako jsou filtry nakonfigurované v Git LFS. Tuto chybu zabezpečení lze zneužít pouze na souborových systémech bez ohledu na velikost písmen, které podporují symbolické odkazy, jako jsou NTFS, HFS+ a APFS (tj. na platformách Windows a macOS).
Jako bezpečnostní řešení můžete zakázat zpracování symbolických odkazů v git spuštěním „git config —global core.symlinks false“ nebo deaktivovat podporu procesního filtru pomocí příkazu „git config —show-scope —get-regexp 'filter\.. * \.proces'". Doporučuje se také vyhnout se klonování neověřených úložišť.
Zdroj: opennet.ru