نسخه های اصلاحی سیستم کنترل منبع توزیع شده Git 2.30.2، 2.17.6، 2.18.5، 2.19.6، 2.20.5، 2.21.4، 2.22.5، 2.23.4، 2.24.4، 2.25.5، 2.26.3، نسخههای .2.27.1، 2.28.1، 2.29.3 و 2021 منتشر شدهاند که آسیبپذیری (CVE-21300-2.15) را برطرف کردهاند که امکان اجرای کد از راه دور را هنگام شبیهسازی مخزن مهاجم با استفاده از دستور "git clone" فراهم میکند. همه نسخه های Git از نسخه XNUMX تحت تأثیر قرار گرفته اند.
این مشکل هنگام استفاده از عملیات پرداخت معوق که در برخی از فیلترهای پاکسازی استفاده می شود، مانند آنهایی که در Git LFS پیکربندی شده اند، رخ می دهد. این آسیبپذیری فقط در سیستمهای فایل حساس به حروف بزرگ که از پیوندهای نمادین پشتیبانی میکنند، مانند NTFS، HFS+ و APFS (یعنی در پلتفرمهای Windows و macOS) قابل استفاده است.
به عنوان یک راهحل امنیتی، میتوانید با اجرای «git config —global core.symlinks false»، پردازش سیملینک را در git غیرفعال کنید یا با استفاده از دستور «git config —show-scope —get-regexp«filter» غیرفعال کنید. \.روند'". همچنین توصیه می شود از شبیه سازی مخازن تایید نشده خودداری کنید.
منبع: opennet.ru