Rhyddhau cywirol o'r system rheoli ffynhonnell ddosbarthedig Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 wedi'u cyhoeddi .2.27.1, 2.28.1, 2.29.3 a 2021, a oedd yn pennu bregusrwydd (CVE-21300-2.15) sy'n caniatáu gweithredu cod o bell wrth glonio ystorfa ymosodwr gan ddefnyddio'r gorchymyn “git clone”. Effeithir ar bob datganiad o Git ers fersiwn XNUMX.
Mae'r broblem yn digwydd wrth ddefnyddio gweithrediadau desg dalu gohiriedig, a ddefnyddir mewn rhai hidlwyr glanhau, fel y rhai sydd wedi'u ffurfweddu yn Git LFS. Dim ond ar systemau ffeiliau achos-sensitif sy'n cefnogi cysylltiadau symbolaidd, megis NTFS, HFS+ ac APFS (h.y. ar lwyfannau Windows a macOS) y gellir manteisio ar y bregusrwydd.
Fel ateb diogelwch, gallwch analluogi prosesu symlink yn git trwy redeg “git config —global core.symlinks false”, neu analluogi cefnogaeth hidlo proses gan ddefnyddio'r gorchymyn “git config —show-scope —get-regexp' filter\.. * \.proses'". Argymhellir hefyd osgoi clonio ystorfeydd heb eu gwirio.
Ffynhonnell: opennet.ru