Git-Update zur Behebung einer Sicherheitsanfälligkeit, die die remote Ausführung von Code ermöglicht

Korrigierte Versionen des verteilten Systems zur Verwaltung von Quellcodes Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1 und 2.29.3 veröffentlicht, in denen die Sicherheitsanfälligkeit (CVE-2021-21300) behoben wurde, die es einem Angreifer ermöglicht, durch Klonen eines böswilligen Repositories mittels des Befehls „git clone“ remote Code auszuführen. Alle Git-Versionen ab 2.15 sind von dieser Sicherheitsanfälligkeit betroffen.

Das Problem tritt bei der Verwendung von verzögerten Checkout-Operationen auf, die in einigen Bereinigungfiltern verwendet werden, wie zum Beispiel in Git LFS. Die Ausnutzung der Sicherheitsanfälligkeit ist nur in Dateisystemen möglich, die keine Groß- und Kleinschreibung unterscheiden, aber symbolische Links unterstützen, wie NTFS, HFS+ und APFS (d.h. auf Windows- und macOS-Plattformen).

Eine Möglichkeit, den Schutz zu umgehen, besteht darin, die Verarbeitung symbolischer Links in Git mit dem Befehl „git config --global core.symlinks false“ zu deaktivieren oder die Unterstützung für Filterprozesse mit dem Befehl „git config --show-scope --get-regexp 'filter\..*\.process'“ abzuschalten. Es wird außerdem empfohlen, das Klonen von nicht überprüften Repositories zu vermeiden.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster