Izkliedētā avota vadības sistēmas Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 koriģējošie izlaidumi ir publicēti .2.27.1, 2.28.1, 2.29.3 un 2021, kas noteica ievainojamību (CVE-21300-2.15), kas ļauj attālināti izpildīt kodu, klonējot uzbrucēja repozitoriju, izmantojot komandu “git clone”. Tiek ietekmēti visi Git laidieni kopš versijas XNUMX.
Problēma rodas, izmantojot atliktās izrakstīšanās darbības, kas tiek izmantotas dažos tīrīšanas filtros, piemēram, tajos, kas konfigurēti Git LFS. Ievainojamību var izmantot tikai reģistrjutīgās failu sistēmās, kas atbalsta simboliskas saites, piemēram, NTFS, HFS+ un APFS (t.i., Windows un macOS platformās).
Kā drošības risinājumu varat atspējot simsaišu apstrādi git, izpildot “git config —global core.symlinks false”, vai atspējot procesa filtru atbalstu, izmantojot komandu “git config —show-scope —get-regexp 'filter\.. * \.process'". Ieteicams arī izvairīties no nepārbaudītu repozitoriju klonēšanas.
Avots: opennet.ru