Διορθωτικές εκδόσεις του συστήματος ελέγχου κατανεμημένης πηγής Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, έχουν δημοσιευτεί .2.27.1, 2.28.1, 2.29.3 και 2021, τα οποία διόρθωσαν μια ευπάθεια (CVE-21300-2.15) που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα κατά την κλωνοποίηση του αποθετηρίου ενός εισβολέα χρησιμοποιώντας την εντολή "git clone". Όλες οι εκδόσεις του Git από την έκδοση XNUMX επηρεάζονται.
Το πρόβλημα παρουσιάζεται όταν χρησιμοποιείτε λειτουργίες αναβολής ολοκλήρωσης αγοράς, οι οποίες χρησιμοποιούνται σε ορισμένα φίλτρα εκκαθάρισης, όπως αυτά που έχουν ρυθμιστεί στο Git LFS. Η ευπάθεια μπορεί να χρησιμοποιηθεί μόνο σε συστήματα αρχείων χωρίς διάκριση πεζών-κεφαλαίων που υποστηρίζουν συμβολικούς συνδέσμους, όπως NTFS, HFS+ και APFS (δηλαδή σε πλατφόρμες Windows και macOS).
Ως λύση ασφαλείας, μπορείτε να απενεργοποιήσετε την επεξεργασία συνδέσμων συμβόλων στο git εκτελώντας το «git config —global core.symlinks false» ή να απενεργοποιήσετε την υποστήριξη φίλτρου διεργασίας χρησιμοποιώντας την εντολή «git config —show-scope —get-regexp 'filter\.. * \.επεξεργάζομαι, διαδικασία'". Συνιστάται επίσης να αποφεύγετε την κλωνοποίηση μη επαληθευμένων αποθετηρίων.
Πηγή: opennet.ru