Korrigerende udgivelser af det distribuerede kildekontrolsystem Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3. er blevet udgivet .2.27.1, 2.28.1, 2.29.3 og 2021, som har rettet en sårbarhed (CVE-21300-2.15), der tillader fjernudførelse af kode ved kloning af en angribers lager ved hjælp af kommandoen "git clone". Alle udgivelser af Git siden version XNUMX er berørt.
Problemet opstår, når du bruger udskudte checkout-operationer, som bruges i nogle oprydningsfiltre, såsom dem, der er konfigureret i Git LFS. Sårbarheden kan kun udnyttes på filsystemer, der ikke skiller mellem store og små bogstaver, og som understøtter symbolske links, såsom NTFS, HFS+ og APFS (dvs. på Windows- og macOS-platforme).
Som en sikkerhedsløsning kan du deaktivere symlink-behandling i git ved at køre "git config —global core.symlinks false", eller deaktivere procesfilterunderstøttelse ved at bruge kommandoen "git config —show-scope —get-regexp 'filter\.. * \.behandle'". Det anbefales også at undgå kloning af ikke-verificerede depoter.
Kilde: opennet.ru