Version korektif sistèm kontwòl sous distribiye Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 yo te pibliye .2.27.1, 2.28.1, 2.29.3 ak 2021, ki te fikse yon vilnerabilite (CVE-21300-2.15) ki pèmèt ekzekisyon kòd aleka lè klonaj depo yon atakè lè l sèvi avèk "git klon" kòmandman an. Tout degaje Git depi vèsyon XNUMX afekte.
Pwoblèm nan rive lè w ap itilize operasyon kesye difere, ki itilize nan kèk filtè netwayaj, tankou sa yo ki konfigirasyon nan Git LFS. Kapab eksplwate vilnerabilite a sèlman sou sistèm dosye ki pa sansib pou ka ki sipòte lyen senbolik, tankou NTFS, HFS+ ak APFS (sa vle di sou platfòm Windows ak macOS).
Kòm yon solisyon sekirite, ou ka enfim pwosesis lyen senbolik nan git lè w ap kouri "git config —global core.symlinks false", oswa enfim pwosesis filtre sipò lè l sèvi avèk kòmandman "git config -show-scope -get-regexp 'filter\.. * \.pwosesis'". Li rekòmande tou pou evite klonaj depo verifye.
Sous: opennet.ru