Keluaran pembetulan sistem kawalan sumber teragih Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 telah diterbitkan .2.27.1, 2.28.1, 2.29.3 dan 2021, yang membetulkan kelemahan (CVE-21300-2.15) yang membenarkan pelaksanaan kod jauh apabila mengklon repositori penyerang menggunakan arahan "klon git". Semua keluaran Git sejak versi XNUMX terjejas.
Masalah berlaku apabila menggunakan operasi pembayaran tertunda, yang digunakan dalam beberapa penapis pembersihan, seperti yang dikonfigurasikan dalam Git LFS. Kerentanan hanya boleh dieksploitasi pada sistem fail tidak peka huruf besar-kecil yang menyokong pautan simbolik, seperti NTFS, HFS+ dan APFS (iaitu pada platform Windows dan macOS).
Sebagai penyelesaian keselamatan, anda boleh melumpuhkan pemprosesan symlink dalam git dengan menjalankan βgit config βglobal core.symlinks falseβ, atau melumpuhkan sokongan penapis proses menggunakan arahan βgit config βshow-scope βget-regexp 'filter\.. * \.proses'". Ia juga disyorkan untuk mengelakkan pengklonan repositori yang tidak disahkan.
Sumber: opennet.ru