Er is een kritieke kwetsbaarheid geïdentificeerd in Git (CVE-2021-29468), die alleen verschijnt bij het bouwen voor de Cygwin-omgeving (een bibliotheek voor het emuleren van de basis Linux API op Windows en een set standaard Linux-programma's voor Windows). Door de kwetsbaarheid kan aanvallercode worden uitgevoerd bij het ophalen van gegevens (“git checkout”) uit een repository die wordt beheerd door de aanvaller. Het probleem is opgelost in het git 2.31.1-2 pakket voor Cygwin. In het hoofdproject van Git is het probleem nog niet opgelost (het is onwaarschijnlijk dat iemand met zijn eigen handen git voor Cygwin bouwt, in plaats van een kant-en-klaar pakket te gebruiken).
De kwetsbaarheid wordt veroorzaakt doordat Cygwin de omgeving verwerkt als een Unix-achtig systeem in plaats van Windows, wat resulteert in geen beperkingen op het gebruik van het '\'-teken in het pad, terwijl in Cygwin, net als in Windows, dit teken kan worden gebruikt gebruikt om mappen te scheiden. Als gevolg hiervan is het mogelijk om, door een speciaal aangepaste repository te maken die symbolische links en bestanden met een backslash-teken bevat, willekeurige bestanden te overschrijven bij het laden van deze repository in Cygwin (een soortgelijke kwetsbaarheid werd in Git voor Windows in 2019 opgelost). Door de mogelijkheid te krijgen om bestanden te overschrijven, kan een aanvaller hook-calls in git overschrijven en ervoor zorgen dat willekeurige code op het systeem wordt uitgevoerd.
Bron: opennet.ru