Բաշխված աղբյուրի կառավարման համակարգի ուղղիչ թողարկումներ Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, հրապարակվել են .2.27.1, 2.28.1, 2.29.3 և 2021, որոնք ֆիքսել են խոցելիություն (CVE-21300-2.15), որը թույլ է տալիս հեռակա կոդի կատարումը հարձակվողի պահեստը կլոնավորելիս՝ օգտագործելով «git clone» հրամանը: Git-ի բոլոր թողարկումները XNUMX տարբերակից սկսած:
Խնդիրն առաջանում է հետաձգված վճարումների կիրառման ժամանակ, որոնք օգտագործվում են որոշ մաքրման զտիչներում, ինչպիսիք են Git LFS-ում կազմաձևվածները: Խոցելիությունը կարող է օգտագործվել միայն տառատեսակների համար ոչ զգայուն ֆայլային համակարգերում, որոնք աջակցում են խորհրդանշական հղումներ, ինչպիսիք են NTFS, HFS+ և APFS (այսինքն՝ Windows և macOS հարթակներում):
Որպես անվտանգության լուծում, դուք կարող եք անջատել սիմհղման մշակումը git-ում՝ գործարկելով «git config —global core.symlinks false» կամ անջատել գործընթացի զտիչի աջակցությունը՝ օգտագործելով «git config —show-scope —get-regexp 'filter\..» * \.գործընթացը»: Խորհուրդ է տրվում նաև խուսափել չստուգված պահեստների կլոնավորումից:
Source: opennet.ru