Aggiornamento di Git con una vulnerabilità che consente l'esecuzione remota di codice

Sono stati pubblicati rilasci correttivi per i sistemi di controllo versione distribuiti Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1 e 2.29.3, nei quali è stata corretta la vulnerabilità (CVE-2021-21300) che consente l'esecuzione remota di codice durante il cloning di repository di un aggressore utilizzando il comando "git clone". Sono vulnerabili tutte le versioni di Git a partire dalla versione 2.15.

Il problema si manifesta durante l'utilizzo delle operazioni deferred checkout, che vengono impiegate in alcuni filtri di pulizia, ad esempio, personalizzati in Git LFS. Lo sfruttamento della vulnerabilità è possibile solo su file system che non distinguono tra maiuscole e minuscole, ma supportano i collegamenti simbolici, come NTFS, HFS+ e APFS (cioè sulle piattaforme Windows e macOS).

Come misura alternativa di protezione, è possibile disattivare la gestione dei collegamenti simbolici in git eseguendo «git config —global core.symlinks false», oppure disabilitare il supporto per i processi filtro utilizzando il comando «git config —show-scope —get-regexp ‘filter\..*\.process'». Si raccomanda inoltre di evitare di clonare repository non verificati.

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster