Hajutatud allika juhtimissüsteemi Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 korrigeerivad väljalasked on avaldatud versioonid .2.27.1, 2.28.1, 2.29.3 ja 2021, mis parandasid haavatavuse (CVE-21300-2.15), mis võimaldab kaugkäivitada koodi, kui kloonitakse ründaja hoidla käsuga „git clone”. Mõjutatud on kõik Giti väljaanded alates versioonist XNUMX.
Probleem ilmneb edasilükatud kassatoimingute kasutamisel, mida kasutatakse mõnes puhastusfiltris, näiteks need, mis on konfigureeritud Git LFS-is. Haavatavust saab ära kasutada ainult sümboolseid linke toetavates failisüsteemides, mis ei ole tõstutundlikud, nagu NTFS, HFS+ ja APFS (st Windowsi ja macOS-i platvormidel).
Turvalahendusena saate keelata sümlinkide töötlemise gitis, käivitades käsu „git config —global core.symlinks false“ või keelata protsessifiltri tugi, kasutades käsku „git config —show-scope —get-regexp 'filter\.. * \.protsess'". Samuti on soovitatav vältida kontrollimata hoidlate kloonimist.
Allikas: opennet.ru