"git clone" ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ದುರುದ್ದೇಶಪೂರಿತ ರೆಪೊಸಿಟರಿಯನ್ನು ಕ್ಲೋನಿಂಗ್ ಮಾಡುವಾಗ ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಅನುಮತಿಸುವ ದುರ್ಬಲತೆಗಾಗಿ ಪ್ಯಾಚ್ (CVE-2021-21300) Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1, ಮತ್ತು 2.29.3 ಅನ್ನು ಬಿಡುಗಡೆ ಮಾಡಲಾಗಿದೆ, ಇದು "git clone" ಆಜ್ಞೆಯನ್ನು ಬಳಸಿಕೊಂಡು ದುರುದ್ದೇಶಪೂರಿತ ರೆಪೊಸಿಟರಿಯನ್ನು ಕ್ಲೋನಿಂಗ್ ಮಾಡುವಾಗ ರಿಮೋಟ್ ಕೋಡ್ ಎಕ್ಸಿಕ್ಯೂಶನ್ ಅನ್ನು ಅನುಮತಿಸುವ ದುರ್ಬಲತೆಗಾಗಿ ಪ್ಯಾಚ್ ಆಗಿದೆ. ಆವೃತ್ತಿ 2.15 ರಿಂದ ಎಲ್ಲಾ Git ಬಿಡುಗಡೆಗಳು ಈ ದುರ್ಬಲತೆಗೆ ಗುರಿಯಾಗುತ್ತವೆ.
Проблема проявляется при использовании отложенных операций checkout, которые применяются в некоторых фильтрах очистки, например, настраиваемых в Git LFS. Эксплуатация уязвимости возможна только в файловых системах, не различающих регистр символов, но поддерживающих символические ссылки, таких как NTFS, HFS+ и APFS (т.е. на платформах Windows и macOS).
ಪರಿಹಾರವಾಗಿ, ನೀವು "git config --global core.symlinks false" ಅನ್ನು ಚಲಾಯಿಸುವ ಮೂಲಕ git ನ ಸಾಂಕೇತಿಕ ಲಿಂಕ್ಗಳ ನಿರ್ವಹಣೆಯನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು ಅಥವಾ "git config --show-scope --get-regexp 'filter\..*\.process'" ಅನ್ನು ಚಲಾಯಿಸುವ ಮೂಲಕ ಫಿಲ್ಟರ್ ಪ್ರಕ್ರಿಯೆಗಳಿಗೆ ಬೆಂಬಲವನ್ನು ನಿಷ್ಕ್ರಿಯಗೊಳಿಸಬಹುದು. ವಿಶ್ವಾಸಾರ್ಹವಲ್ಲದ ರೆಪೊಸಿಟರಿಗಳನ್ನು ಕ್ಲೋನಿಂಗ್ ಮಾಡುವುದನ್ನು ತಪ್ಪಿಸಲು ಸಹ ಶಿಫಾರಸು ಮಾಡಲಾಗಿದೆ.
ಮೂಲ: opennet.ru
