Wersje korygujące rozproszonego systemu kontroli źródła Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 opublikowano wersje .2.27.1, 2.28.1, 2.29.3 i 2021, które naprawiły lukę (CVE-21300-2.15) umożliwiającą zdalne wykonanie kodu podczas klonowania repozytorium atakującego za pomocą polecenia „git clone”. Dotyczy to wszystkich wydań Git od wersji XNUMX.
Problem występuje podczas korzystania z operacji odroczonego pobierania, które są używane w niektórych filtrach czyszczących, takich jak te skonfigurowane w Git LFS. Lukę można wykorzystać wyłącznie w systemach plików nieuwzględniających wielkości liter, które obsługują łącza symboliczne, takich jak NTFS, HFS+ i APFS (tj. na platformach Windows i macOS).
W ramach obejścia bezpieczeństwa możesz wyłączyć przetwarzanie dowiązań symbolicznych w git, uruchamiając „git config —global core.symlinks false” lub wyłączyć obsługę filtru procesów za pomocą polecenia „git config —show-scope —get-regexp 'filter\.. * \.proces'". Zaleca się także unikanie klonowania niezweryfikowanych repozytoriów.
Źródło: opennet.ru