Yo te idantifye yon vilnerabilite kritik nan Git (CVE-2021-29468), ki parèt sèlman lè bati pou anviwònman Cygwin (yon bibliyotèk pou imite API Linux debaz sou Windows ak yon seri pwogram estanda Linux pou Windows). Vilnerabilite a pèmèt kòd atakè yo dwe egzekite lè yo rekipere done ("git kesye") ki soti nan yon depo atakè a kontwole. Pwoblèm nan fiks nan pake git 2.31.1-2 pou Cygwin. Nan pwojè Git prensipal la, pwoblèm nan poko te fikse (li pa posib ke yon moun ap bati git pou Cygwin ak pwòp men yo, olye ke yo sèvi ak yon pake pare).
Se vilnerabilite a ki te koze pa pwosesis Cygwin a nan anviwònman an kòm yon sistèm ki tankou Unix olye ke Windows, ki rezilta nan pa gen okenn restriksyon sou itilizasyon karaktè '\' nan chemen an, pandan y ap nan Cygwin, tankou nan Windows, karaktè sa a kapab. itilize pou separe anyè. Kòm yon rezilta, lè w kreye yon depo espesyalman modifye ki gen lyen senbolik ak dosye ki gen yon karaktè backslash, li posib pou ranplase fichye abitrè lè w ap chaje depo sa a nan Cygwin (yo te fikse yon vilnerabilite menm jan an nan Git pou Windows nan 2019). Lè w genyen kapasite pou ranplase fichye yo, yon atakè ka pase sou apèl kwòk nan git epi lakòz kòd abitrè yo dwe egzekite sou sistèm lan.
Sous: opennet.ru