Korrigerende utgivelser av det distribuerte kildekontrollsystemet Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3. har blitt publisert .2.27.1, 2.28.1, 2.29.3 og 2021, som fikset en sårbarhet (CVE-21300-2.15) som tillater ekstern kjøring av kode ved kloning av en angripers depot ved hjelp av "git clone"-kommandoen. Alle utgivelser av Git siden versjon XNUMX er berørt.
Problemet oppstår når du bruker utsatte utsjekkingsoperasjoner, som brukes i noen oppryddingsfiltre, for eksempel de som er konfigurert i Git LFS. Sårbarheten kan bare utnyttes på filsystemer som ikke skiller mellom store og små bokstaver som støtter symbolske lenker, som NTFS, HFS+ og APFS (dvs. på Windows- og macOS-plattformer).
Som en sikkerhetsløsning kan du deaktivere symlink-behandling i git ved å kjøre "git config —global core.symlinks false", eller deaktivere prosessfilterstøtte ved å bruke kommandoen "git config —show-scope —get-regexp 'filter\.. * \.prosess'". Det anbefales også å unngå kloning av ubekreftede depoter.
Kilde: opennet.ru