Rilis korektif sistem kontrol sumber terdistribusi Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 telah diterbitkan .2.27.1, 2.28.1, 2.29.3 dan 2021, yang memperbaiki kerentanan (CVE-21300-2.15) yang memungkinkan eksekusi kode jarak jauh saat mengkloning repositori penyerang menggunakan perintah “git clone”. Semua rilis Git sejak versi XNUMX terpengaruh.
Masalah terjadi saat menggunakan operasi checkout yang ditangguhkan, yang digunakan di beberapa filter pembersihan, seperti yang dikonfigurasi di Git LFS. Kerentanan hanya dapat dieksploitasi pada sistem file case-insensitive yang mendukung symbolic link, seperti NTFS, HFS+ dan APFS (yaitu pada platform Windows dan macOS).
Sebagai solusi keamanan, Anda dapat menonaktifkan pemrosesan symlink di git dengan menjalankan “git config —global core.symlinks false”, atau menonaktifkan dukungan filter proses menggunakan perintah “git config —show-scope —get-regexp 'filter\.. * \.proses'". Disarankan juga untuk menghindari kloning repositori yang belum terverifikasi.
Sumber: opennet.ru