È stata identificata una vulnerabilità critica in Git (CVE-2021-29468), che appare solo durante la creazione per l'ambiente Cygwin (una libreria per emulare l'API Linux di base su Windows e un insieme di programmi Linux standard per Windows). La vulnerabilità consente l'esecuzione del codice dell'aggressore durante il recupero dei dati (“git checkout”) da un repository controllato dall'aggressore. Il problema è stato risolto nel pacchetto git 2.31.1-2 per Cygwin. Nel progetto Git principale, il problema non è stato ancora risolto (è improbabile che qualcuno stia costruendo Git per Cygwin con le proprie mani, invece di utilizzare un pacchetto già pronto).
La vulnerabilità è causata dall'elaborazione dell'ambiente da parte di Cygwin come sistema simile a Unix piuttosto che come Windows, il che non comporta restrizioni sull'uso del carattere "\" nel percorso, mentre in Cygwin, come in Windows, questo carattere può essere utilizzato per separare le directory. Di conseguenza, creando un repository appositamente modificato contenente collegamenti simbolici e file con un carattere barra rovesciata, è possibile sovrascrivere file arbitrari durante il caricamento di questo repository in Cygwin (una vulnerabilità simile è stata risolta in Git per Windows nel 2019). Ottenendo la capacità di sovrascrivere i file, un utente malintenzionato può sovrascrivere le chiamate hook in git e causare l'esecuzione di codice arbitrario sul sistema.
Fonte: opennet.ru