Versioni correttive del sistema di controllo del codice sorgente distribuito Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 sono stati pubblicati i capitoli .2.27.1, 2.28.1, 2.29.3 e 2021, che hanno risolto una vulnerabilità (CVE-21300-2.15) che permetteva l’esecuzione di codice remoto durante la clonazione del repository di un utente malintenzionato utilizzando il comando “git clone”. Sono interessate tutte le versioni di Git a partire dalla versione XNUMX.
Il problema si verifica quando si utilizzano operazioni di checkout differito, che vengono utilizzate in alcuni filtri di pulizia, come quelli configurati in Git LFS. La vulnerabilità può essere sfruttata solo su file system senza distinzione tra maiuscole e minuscole che supportano collegamenti simbolici, come NTFS, HFS+ e APFS (ovvero su piattaforme Windows e macOS).
Come soluzione alternativa alla sicurezza, puoi disabilitare l'elaborazione dei collegamenti simbolici in git eseguendo "git config —global core.symlinks false" o disabilitare il supporto del filtro dei processi utilizzando il comando "git config —show-scope —get-regexp 'filter\.. * \.processi'". Si consiglia inoltre di evitare la clonazione di repository non verificati.
Fonte: opennet.ru