Opravné vydania distribuovaného zdrojového riadiaceho systému Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3. boli publikované .2.27.1, 2.28.1, 2.29.3 a 2021, ktoré opravili zraniteľnosť (CVE-21300-2.15), ktorá umožňuje vzdialené spustenie kódu pri klonovaní úložiska útočníka pomocou príkazu „git clone“. Ovplyvnené sú všetky vydania systému Git od verzie XNUMX.
Problém nastáva pri použití odložených operácií pokladne, ktoré sa používajú v niektorých čistiacich filtroch, ako sú napríklad filtre nakonfigurované v Git LFS. Zraniteľnosť možno zneužiť iba na súborových systémoch bez ohľadu na veľkosť písmen, ktoré podporujú symbolické odkazy, ako sú NTFS, HFS+ a APFS (t. j. na platformách Windows a macOS).
Ako bezpečnostné riešenie môžete zakázať spracovanie symbolických odkazov v git spustením „git config —global core.symlinks false“ alebo vypnúť podporu procesného filtra pomocou príkazu „git config —show-scope —get-regexp 'filter\.. * \.process'“. Odporúča sa tiež vyhnúť sa klonovaniu neoverených úložísk.
Zdroj: opennet.ru