Popravne izdaje sistema za nadzor porazdeljenega vira Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 so bili objavljeni .2.27.1, 2.28.1, 2.29.3 in 2021, ki so odpravili ranljivost (CVE-21300-2.15), ki omogoča oddaljeno izvajanje kode pri kloniranju napadalčevega repozitorija z uporabo ukaza »git clone«. To vpliva na vse izdaje Gita od različice XNUMX.
Težava se pojavi pri uporabi operacij odloženega preverjanja, ki se uporabljajo v nekaterih čistilnih filtrih, kot so tisti, ki so konfigurirani v Git LFS. Ranljivost je mogoče izkoristiti le v datotečnih sistemih, ki ne razlikujejo med velikimi in malimi črkami in podpirajo simbolne povezave, kot so NTFS, HFS+ in APFS (tj. na platformah Windows in macOS).
Kot varnostno rešitev lahko onemogočite obdelavo simbolne povezave v git tako, da zaženete »git config —global core.symlinks false« ali onemogočite podporo za filter procesa z ukazom »git config —show-scope —get-regexp 'filter\.. * \.proces'". Priporočljivo je tudi, da se izogibate kloniranju nepreverjenih skladišč.
Vir: opennet.ru