Versions correctives du système de contrôle de source distribué Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 ont été publiés .2.27.1, 2.28.1, 2.29.3 et 2021, qui corrigent une vulnérabilité (CVE-21300-2.15) qui permet l'exécution de code à distance lors du clonage du référentiel d'un attaquant à l'aide de la commande « git clone ». Toutes les versions de Git depuis la version XNUMX sont concernées.
Le problème se produit lors de l'utilisation d'opérations d'extraction différée, qui sont utilisées dans certains filtres de nettoyage, tels que ceux configurés dans Git LFS. La vulnérabilité ne peut être exploitée que sur des systèmes de fichiers insensibles à la casse qui prennent en charge les liens symboliques, tels que NTFS, HFS+ et APFS (c'est-à-dire sur les plateformes Windows et macOS).
Comme solution de contournement de sécurité, vous pouvez désactiver le traitement des liens symboliques dans git en exécutant « git config —global core.symlinks false », ou désactiver la prise en charge du filtre de processus à l'aide de la commande « git config —show-scope —get-regexp 'filter\.. * \.processus'". Il est également recommandé d'éviter de cloner des référentiels non vérifiés.
Source: opennet.ru