Korekciniai paskirstytų šaltinių valdymo sistemos Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 išleidimai buvo paskelbti .2.27.1, 2.28.1, 2.29.3 ir 2021, kurie ištaisė pažeidžiamumą (CVE-21300-2.15), leidžiantį nuotoliniu būdu vykdyti kodą, kai klonuojamas užpuoliko saugykla naudojant komandą „git clone“. Paveikti visi Git leidimai nuo XNUMX versijos.
Problema kyla naudojant atidėtas patikros operacijas, kurios naudojamos kai kuriuose valymo filtruose, pvz., sukonfigūruotuose Git LFS. Pažeidžiamumas gali būti naudojamas tik failų sistemose, kuriose neskiriamos didžiosios ir mažosios raidės, palaikančios simbolines nuorodas, pvz., NTFS, HFS+ ir APFS (t. y. „Windows“ ir „macOS“ platformose).
Kaip saugumo sprendimą galite išjungti simbolių nuorodų apdorojimą git paleidę „git config —global core.symlinks false“ arba išjungti procesų filtrų palaikymą naudodami komandą „git config —show-scope —get-regexp 'filter\.. * \.procesas'". Taip pat rekomenduojama vengti nepatvirtintų saugyklų klonavimo.
Šaltinis: opennet.ru