A Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 megjelentek a .2.27.1, 2.28.1, 2.29.3 és 2021 verziók, amelyek javítottak egy biztonsági rést (CVE-21300-2.15), amely távoli kódfuttatást tesz lehetővé a támadó lerakatának a „git clone” paranccsal történő klónozása során. A XNUMX-ös verzió óta a Git összes kiadása érintett.
A probléma késleltetett kijelentkezési műveletek használatakor jelentkezik, amelyeket egyes tisztítószűrőkben használnak, például a Git LFS-ben konfiguráltakban. A sebezhetőség kihasználása csak olyan kis- és nagybetűket nem megkülönböztető fájlrendszereken lehetséges, amelyek támogatják a szimbolikus hivatkozásokat, például az NTFS, HFS+ és APFS (azaz olyan platformokon, amelyek...). Windows и macOS).
Biztonsági megoldásként letilthatja a szimbolikus hivatkozások feldolgozását a gitben a „git config —global core.symlinks false” futtatásával, vagy letilthatja a folyamatszűrő támogatását a „git config —show-scope —get-regexp 'filter\..” paranccsal. \.folyamat'". Javasoljuk továbbá, hogy kerülje a nem ellenőrzött adattárak klónozását.
Forrás: opennet.ru
