V systéme Git (CVE-2021-29468) bola identifikovaná kritická zraniteľnosť, ktorá sa objavuje iba pri vytváraní pre prostredie Cygwin (knižnica na emuláciu základného Linux API v systéme Windows a súbor štandardných linuxových programov pre Windows). Táto chyba zabezpečenia umožňuje spustenie kódu útočníka pri získavaní údajov („git checkout“) z úložiska kontrolovaného útočníkom. Problém je vyriešený v balíku git 2.31.1-2 pre Cygwin. V hlavnom projekte Git problém ešte nebol vyriešený (je nepravdepodobné, že by niekto zostavoval git pre Cygwin vlastnými rukami, namiesto toho, aby používal hotový balík).
Zraniteľnosť je spôsobená tým, že Cygwin spracováva prostredie ako systém podobný Unixu a nie ako Windows, čo nespôsobuje žiadne obmedzenia na použitie znaku '\' v ceste, zatiaľ čo v Cygwine, podobne ako vo Windows, môže byť tento znak slúži na oddelenie adresárov. Výsledkom je, že vytvorením špeciálne upraveného úložiska obsahujúceho symbolické odkazy a súbory so znakom spätnej lomky je možné prepísať ľubovoľné súbory pri načítaní tohto úložiska do Cygwin (podobná zraniteľnosť bola opravená v Git pre Windows v roku 2019). Získaním schopnosti prepisovať súbory môže útočník prepísať hákové volania v git a spôsobiť spustenie ľubovoľného kódu v systéme.
Zdroj: opennet.ru