Versións correctivas do sistema de control de fontes distribuídas Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 publicáronse .2.27.1, 2.28.1, 2.29.3 e 2021, que corrixiron unha vulnerabilidade (CVE-21300-2.15) que permitía a execución remota de código ao clonar o repositorio dun atacante mediante o comando "git clone". Todas as versións de Git desde a versión XNUMX están afectadas.
O problema prodúcese ao usar operacións de pago diferido, que se usan nalgúns filtros de limpeza, como os configurados en Git LFS. A vulnerabilidade só se pode explotar en sistemas de ficheiros que non distinguen maiúsculas e minúsculas que admitan ligazóns simbólicas, como NTFS, HFS+ e APFS (é dicir, en plataformas Windows e macOS).
Como solución de seguridade, pode desactivar o procesamento de ligazóns simbólicas en git executando “git config —global core.symlinks false”, ou desactivar o soporte de filtros de procesos mediante o comando “git config —show-scope —get-regexp 'filter\.. * \.proceso'". Tamén se recomenda evitar a clonación de repositorios non verificados.
Fonte: opennet.ru