Lëshimet korrigjuese të sistemit të kontrollit të burimit të shpërndarë Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, janë publikuar .2.27.1, 2.28.1, 2.29.3 dhe 2021, të cilat rregulluan një dobësi (CVE-21300-2.15) që lejon ekzekutimin e kodit në distancë kur klononi depon e një sulmuesi duke përdorur komandën "git clone". Të gjitha lëshimet e Git që nga versioni XNUMX janë prekur.
Problemi shfaqet kur përdorni operacione të shtyra të arkëtimit, të cilat përdoren në disa filtra pastrimi, të tilla si ato të konfiguruara në Git LFS. Dobësia mund të shfrytëzohet vetëm në sistemet e skedarëve të pandjeshëm ndaj rasteve që mbështesin lidhje simbolike, si NTFS, HFS+ dhe APFS (d.m.th. në platformat Windows dhe macOS).
Si një zgjidhje sigurie, mund të çaktivizoni përpunimin e lidhjeve simbolike në git duke ekzekutuar "git config —global core.symlinks false" ose çaktivizoni mbështetjen e filtrit të procesit duke përdorur komandën "git config —show-scope —get-regexp 'filter\.. * \.procesi'". Rekomandohet gjithashtu të shmangni klonimin e depove të paverifikuara.
Burimi: opennet.ru