Corrigerende releases van het gedistribueerde broncontrolesysteem Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 zijn gepubliceerd .2.27.1, 2.28.1, 2.29.3 en 2021, waarmee een kwetsbaarheid is opgelost (CVE-21300-2.15) die het uitvoeren van code op afstand mogelijk maakt bij het klonen van de repository van een aanvaller met behulp van de opdracht “git clone”. Alle releases van Git sinds versie XNUMX worden beïnvloed.
Het probleem doet zich voor bij het gebruik van uitgestelde betaalbewerkingen, die worden gebruikt in sommige opschoonfilters, zoals die geconfigureerd in Git LFS. Het beveiligingslek kan alleen worden misbruikt op hoofdletterongevoelige bestandssystemen die symbolische koppelingen ondersteunen, zoals NTFS, HFS+ en APFS (dat wil zeggen op Windows- en macOS-platforms).
Als beveiligingsoplossing kun je de verwerking van symlinks in git uitschakelen door “git config —global core.symlinks false” uit te voeren, of ondersteuning voor procesfilters uitschakelen met het commando “git config —show-scope —get-regexp 'filter\.. * \.proces'". Het wordt ook aanbevolen om het klonen van niet-geverifieerde opslagplaatsen te vermijden.
Bron: opennet.ru