Lansări corective ale sistemului de control al sursei distribuite Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 au fost publicate .2.27.1, 2.28.1, 2.29.3 și 2021, care au remediat o vulnerabilitate (CVE-21300-2.15) care permite executarea de cod de la distanță atunci când clonează depozitul unui atacator folosind comanda „git clone”. Toate versiunile Git începând cu versiunea XNUMX sunt afectate.
Problema apare atunci când se utilizează operațiuni de plată amânată, care sunt utilizate în unele filtre de curățare, cum ar fi cele configurate în Git LFS. Vulnerabilitatea poate fi exploatată numai pe sistemele de fișiere care nu țin cont de majuscule și minuscule care acceptă legături simbolice, cum ar fi NTFS, HFS+ și APFS (adică pe platformele Windows și macOS).
Ca o soluție de securitate, puteți dezactiva procesarea legăturilor simbolice în git rulând „git config —global core.symlinks false” sau dezactivați suportul pentru filtrul de proces folosind comanda „git config —show-scope —get-regexp 'filter\.. * \.proces'". De asemenea, se recomandă evitarea clonării depozitelor neverificate.
Sursa: opennet.ru