Korektigaj eldonoj de la distribua fontkontrolsistemo Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 estis eldonitaj .2.27.1, 2.28.1, 2.29.3 kaj 2021, kiuj riparis vundeblecon (CVE-21300-2.15), kiu ebligas foran kodon ekzekuton dum klonado de la deponejo de atakanto per la komando "git clone". Ĉiuj eldonoj de Git ekde versio XNUMX estas tuŝitaj.
La problemo okazas kiam oni uzas prokrastitajn operaciojn, kiuj estas uzataj en iuj purigfiltriloj, kiel tiuj agorditaj en Git LFS. La vundebleco nur povas esti ekspluatata sur uskle-nesensivaj dosiersistemoj kiuj subtenas simbolajn ligilojn, kiel ekzemple NTFS, HFS+ kaj APFS (t.e. sur Vindozo kaj macOS-platformoj).
Kiel sekureca solvo, vi povas malŝalti simlink-pretigon en git rulante “git config —global core.symlinks false”, aŭ malŝalti procezfiltrilsubtenon uzante la komandon “git config —show-scope —get-regexp 'filtrilo\.. * \.procezo'". Ankaŭ rekomendas eviti klonadon de nekontrolitaj deponejoj.
fonto: opennet.ru