Versiones correctivas del sistema de control de código fuente distribuido Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 Se han publicado .2.27.1, 2.28.1, 2.29.3 y 2021, que corrigieron una vulnerabilidad (CVE-21300-2.15) que permite la ejecución remota de código al clonar el repositorio de un atacante usando el comando “git clone”. Todas las versiones de Git desde la versión XNUMX se ven afectadas.
El problema ocurre cuando se usan operaciones de pago diferido, que se usan en algunos filtros de limpieza, como los configurados en Git LFS. La vulnerabilidad solo puede explotarse en sistemas de archivos que no distinguen entre mayúsculas y minúsculas y que admiten enlaces simbólicos, como NTFS, HFS+ y APFS (es decir, en plataformas Windows y macOS).
Como solución alternativa de seguridad, puede deshabilitar el procesamiento de enlaces simbólicos en git ejecutando “git config —global core.symlinks false”, o deshabilitar el soporte de filtro de procesos usando el comando “git config —show-scope —get-regexp 'filter\.. * \.proceso'". También se recomienda evitar la clonación de repositorios no verificados.
Fuente: opennet.ru