Rilaxxi korrettivi tas-sistema ta' kontroll tas-sors distribwit Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 ġew ippubblikati .2.27.1, 2.28.1, 2.29.3 u 2021, li ffissaw vulnerabbiltà (CVE-21300-2.15) li tippermetti l-eżekuzzjoni remota ta 'kodiċi meta tikklona repożitorju ta' attakkant bl-użu tal-kmand "git clone". Ir-rilaxxi kollha ta' Git mill-verżjoni XNUMX huma affettwati.
Il-problema sseħħ meta jintużaw operazzjonijiet ta 'checkout differiti, li jintużaw f'xi filtri ta' tindif, bħal dawk konfigurati f'Git LFS. Il-vulnerabbiltà tista 'tiġi sfruttata biss fuq sistemi ta' fajls insensittivi għall-każi li jappoġġaw links simboliċi, bħal NTFS, HFS+ u APFS (jiġifieri fuq pjattaformi Windows u macOS).
Bħala soluzzjoni ta' sigurtà, tista' tiddiżattiva l-ipproċessar ta' symlink f'git billi tħaddem “git config —global core.symlinks false”, jew tiddiżattiva l-appoġġ tal-filtru tal-proċess billi tuża l-kmand “git config —show-scope —get-regexp 'filter\.. * \.proċess'". Huwa rakkomandat ukoll li tiġi evitata l-klonazzjoni ta' repożitorji mhux verifikati.
Sors: opennet.ru