分散ソース管理システム Git 2.30.2、2.17.6、2.18.5、2.19.6、2.20.5、2.21.4、2.22.5、2.23.4、2.24.4、2.25.5、2.26.3 の修正リリース.2.27.1、2.28.1、2.29.3、および 2021 が公開されており、「git clone」コマンドを使用して攻撃者のリポジトリのクローンを作成するときにリモートでコードが実行される脆弱性 (CVE-21300-2.15) が修正されました。 バージョン XNUMX 以降の Git のすべてのリリースが影響を受けます。
この問題は、Git LFS で構成されているものなど、一部のクリーンアップ フィルターで使用される遅延チェックアウト操作を使用するときに発生します。 この脆弱性は、NTFS、HFS+、APFS などのシンボリック リンクをサポートする大文字と小文字を区別しないファイル システム (つまり、Windows および macOS プラットフォーム上) でのみ悪用される可能性があります。
セキュリティの回避策として、「git config —global core.symlinks false」を実行して git でのシンボリックリンク処理を無効にするか、コマンド「git config —show-scope —get-regexp 'filter\.. *」を使用してプロセス フィルター サポートを無効にすることができます。 \。プロセス'"。 また、検証されていないリポジトリのクローンを作成しないことをお勧めします。
出所: オープンネット.ru