Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3. .2.27.1, 2.28.1, 2.29.3 eta 2021 argitaratu dira, erasotzaile baten biltegia klonatzean "git clone" komandoa erabiliz urruneko kodea exekutatzeko aukera ematen duen ahultasun bat (CVE-21300-2.15) konpondu zutenak. XNUMX bertsioaz geroztik Git-en bertsio guztiak kaltetuta daude.
Arazoa atzeratutako ordainketa-eragiketak erabiltzean gertatzen da, garbiketa-iragazki batzuetan erabiltzen direnak, Git LFSn konfiguratutakoetan adibidez. Ahultasuna esteka sinbolikoak onartzen dituzten fitxategi-sistemetan soilik ustiatu daiteke, hala nola NTFS, HFS+ eta APFS (hau da, Windows eta macOS plataformetan).
Segurtasun konponbide gisa, git-en esteka sinbolikoen prozesamendua desgai dezakezu βgit config βglobal core.symlinks falseβ exekutatuz edo prozesu iragazkien laguntza desgaitu βgit config βshow-scope βget-regexp 'filter\.. \.prozesua'". Egiaztatu gabeko biltegiak klonatzea ere gomendatzen da.
Iturria: opennet.ru