A Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 megjelentek a .2.27.1, 2.28.1, 2.29.3 és 2021 verziók, amelyek javítottak egy biztonsági rést (CVE-21300-2.15), amely távoli kódfuttatást tesz lehetővé a támadó lerakatának a „git clone” paranccsal történő klónozása során. A XNUMX-ös verzió óta a Git összes kiadása érintett.
A probléma halasztott fizetési műveletek használatakor jelentkezik, amelyeket egyes tisztítási szűrők, például a Git LFS-ben konfigurált szűrők használnak. A sérülékenység csak a kis- és nagybetűket megkülönböztető, szimbolikus hivatkozásokat támogató fájlrendszereken (például NTFS, HFS+ és APFS) kihasználható (azaz Windows és macOS platformokon).
Biztonsági megoldásként letilthatja a szimbolikus hivatkozások feldolgozását a gitben a „git config —global core.symlinks false” futtatásával, vagy letilthatja a folyamatszűrő támogatását a „git config —show-scope —get-regexp 'filter\..” paranccsal. \.folyamat'". Javasoljuk továbbá, hogy kerülje a nem ellenőrzött adattárak klónozását.
Forrás: opennet.ru