Kritika vundebleco (CVE-2021-29468) estis malkovrita en Git, kiu aperas nur dum konstruado por la Cygwin-medio (biblioteko por emuli la subestan Linux API en Windows kaj aro da tipaj Linuksaj programoj por Windows). La vundebleco permesas atakanto-kontrolitan kodplenumon dum prenado de datumoj ("git checkout") el deponejo kontrolita de la atakanto. La problemo estas solvita en la pakaĵo git 2.31.1-2 por Cygwin. La problemo ankoraŭ ne estas solvita en la ĉefa Git-projekto (estas neverŝajne, ke iu mem konstruas git por Cygwin, anstataŭ uzi antaŭkonstruitan pakaĵon).
La vundebleco estas kaŭzita de tio, ke la Cygwin-medio estas traktata kiel Unikso-simila sistemo, anstataŭ Windows, kio rezultigas neniujn limigojn pri la uzo de la signo '\' en la pado, dum en Cigvino, kiel en Windows, ĉi tiu simbolo povas esti uzata por apartigi dosierujojn. Fine, kreante speciale modifitan deponejon enhavantan simbolajn ligilojn kaj dosierojn kun la dekliva simbolo, eblas anstataŭigi arbitrajn dosierojn dum ŝarĝado de ĉi tiu deponejo en Cygwin (en Git por Windows Simila vundebleco estis flikita en 2019. Per anstataŭigo de dosieroj, atakanto povas superregi hokvokojn en git kaj efektivigi arbitran kodon sur la sistemo.
fonto: opennet.ru
