Janë publikuar versionet korrigjuese të sistemit të menaxhimit të kodit të shpërndarë Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, 2.27.1, 2.28.1 dhe 2.29.3, në të cilat është glikuar vulnerabiliteti (CVE-2021-21300) që lejon ekzekutimin e kodit në distancë gjatë klonimit të një repository të keqbërësit duke përdorur komandën "git clone". Të gjitha versionet e Git, duke filluar nga versioni 2.15, janë të prekur nga ky vulnerabilitet.
Problemi shfaqet gjatë përdorimit të operacioneve të vonuara të checkout, të cilat aplikohen në disa filtra pastrimi, siç janë ato të përshtatshme në Git LFS. Shfrytëzimi i vulnerabilitetit është i mundur vetëm në sisteme të skedarëve që nuk dallojnë regjistrin e karaktereve, por mbështesin lidhjet simbolike, si NTFS, HFS+ dhe APFS (pra, në platformat Windows dhe macOS).
Si duhet, mund tĂ« çaktivizoni pĂ«rpunimin e lidhjeve simbolike nĂ« git duke ekzekutuar «git config âglobal core.symlinks false», ose tĂ« ndaloni mbĂ«shtetje pĂ«r proceset-filtra duke pĂ«rdorur komandĂ«n «git config âshow-scope âget-regexp âfilter\..*\.process'». Rekomandohet gjithashtu tĂ« shmangni klonimin e repozitorĂ«ve tĂ« pa verifikuar.
Burimi: opennet.ru
