Korrekturversionen des verteilten Quellcodeverwaltungssystems Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 Es wurden .2.27.1, 2.28.1, 2.29.3 und 2021 veröffentlicht, die eine Schwachstelle (CVE-21300-2.15) beheben, die die Remote-Codeausführung beim Klonen des Repositorys eines Angreifers mit dem Befehl „git clone“ ermöglicht. Betroffen sind alle Versionen von Git seit Version XNUMX.
Das Problem tritt auf, wenn verzögerte Checkout-Vorgänge verwendet werden, die in einigen Bereinigungsfiltern verwendet werden, beispielsweise denen, die in Git LFS konfiguriert sind. Die Schwachstelle kann nur auf Dateisystemen ohne Berücksichtigung der Groß-/Kleinschreibung ausgenutzt werden, die symbolische Links unterstützen, wie etwa NTFS, HFS+ und APFS (d. h. auf Windows- und macOS-Plattformen).
Um die Sicherheit zu umgehen, können Sie die Symlink-Verarbeitung in Git deaktivieren, indem Sie „git config —global core.symlinks false“ ausführen, oder die Prozessfilterunterstützung mit dem Befehl „git config —show-scope —get-regexp 'filter\.. *“ deaktivieren. \.Verfahren'". Es wird außerdem empfohlen, das Klonen nicht verifizierter Repositorys zu vermeiden.
Source: opennet.ru