Leiðréttingarútgáfur á dreifða heimildastýringarkerfinu Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1 hafa verið birtar .2.28.1, 2.29.3, 2021 og 21300, sem lagfærðu varnarleysi (CVE-2.15-XNUMX) sem gerir kleift að keyra fjarkóða þegar geymslu árásarmanns er klónað með „git clone“ skipuninni. Allar útgáfur af Git frá útgáfu XNUMX hafa áhrif.
Vandamálið kemur upp þegar notaðar eru frestar afgreiðsluaðgerðir, sem eru notaðar í sumum hreinsunarsíum, eins og þeim sem eru stilltar í Git LFS. Aðeins er hægt að hagnýta varnarleysið í skráarkerfum sem eru ónæmir fyrir hástöfum sem styðja táknræna tengla, eins og NTFS, HFS+ og APFS (þ.e. á Windows og macOS kerfum).
Sem öryggislausn geturðu slökkt á samkennsluvinnslu í git með því að keyra „git config —global core.symlinks false“ eða slökkt á stuðningi við vinnslusíu með því að nota skipunina „git config —show-scope —get-regexp 'filter\.. * \.ferli'". Einnig er mælt með því að forðast að klóna óstaðfestar geymslur.
Heimild: opennet.ru