V Gitu byla identifikována kritická zranitelnost (CVE-2021-29468), která se objevuje pouze při sestavování pro prostředí Cygwin (knihovna pro emulaci základního linuxového API ve Windows a sada standardních linuxových programů pro Windows). Tato chyba zabezpečení umožňuje spuštění kódu útočníka při načítání dat („git checkout“) z úložiště kontrolovaného útočníkem. Problém je vyřešen v balíčku git 2.31.1-2 pro Cygwin. V hlavním projektu Git problém ještě nebyl vyřešen (je nepravděpodobné, že by někdo stavěl git pro Cygwin vlastníma rukama, než aby používal hotový balíček).
Zranitelnost je způsobena tím, že Cygwin zpracovává prostředí jako systém podobný Unixu spíše než Windows, což nemá za následek žádná omezení použití znaku '\' v cestě, zatímco v Cygwinu, stejně jako ve Windows, může být tento znak slouží k oddělení adresářů. Výsledkem je, že vytvořením speciálně upraveného úložiště obsahujícího symbolické odkazy a soubory se znakem zpětného lomítka je možné při načítání tohoto úložiště do Cygwinu přepisovat libovolné soubory (podobná chyba zabezpečení byla opravena v Git pro Windows v roce 2019). Získáním schopnosti přepisovat soubory může útočník přepsat hákové volání v git a způsobit spuštění libovolného kódu v systému.
Zdroj: opennet.ru