Des versions correctives du système de gestion de code source distribué Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1 et 2.29.3 ont été publiées. Elles corrigent une vulnérabilité (CVE-2021-21300) permettant l'exécution de code à distance lors du clonage du dépôt d'un attaquant à l'aide de la commande « git clone ». Toutes les versions de Git à partir de la version 2.15 sont vulnérables à cette vulnérabilité.
Le problème se manifeste lors de l'utilisation d'opérations d'extraction différée, employées dans certains filtres de nettoyage, comme ceux configurés dans Git LFS. L'exploitation de cette vulnérabilité n'est possible que sur les systèmes de fichiers insensibles à la casse prenant en charge les liens symboliques, tels que NTFS, HFS+ et APFS (c'est-à-dire sur les plateformes). Windows и macOS).
Pour contourner ce problème, vous pouvez désactiver la gestion des liens symboliques par Git en exécutant « git config --global core.symlinks false » ou désactiver la prise en charge des processus de filtrage en exécutant « git config --show-scope --get-regexp 'filter\..*\.process' ». Il est également recommandé d'éviter de cloner des dépôts non fiables.
Source: opennet.ru
