Käideti Git'i jaotatud allikakoodihaldussüsteemi parandavaid versioone 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1 ja 2.29.3, mis eemaldavad haavatavuse (CVE-2021-21300), mis võimaldab kaugkäivitust, kui ründaja repot kloonitakse käsuga "git clone". Kõik Git'i versioonid alates 2.15 on haavatavad.
Probleem ilmneb, kui kasutatakse edasi lükatud checkout operatsioone, mida rakendatakse mõnes puhastamisfiltris, näiteks Git LFS-is konfigureeritult. Haavatavuse ärakasutamine on võimalik ainult failisüsteemides, mis ei erista tähti, kuid toetavad sümboolseid linke, nagu NTFS, HFS+ ja APFS (st Windowsi ja macOS-i platvormidel).
Kaitse mööduteena on võimalik git'is sümboolsete linkide töötlemine keelata, käivitades käsu «git config —global core.symlinks false» või keelata protsessifilterite toetus käsu «git config —show-scope —get-regexp ‘filter\..*\.process'» abil. Samuti on soovitatav vältida kontrollimata repode kloonimist.
Allikas: opennet.ru
