Kaluaran corrective sahiji sistem kontrol sumber disebarkeun Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3, geus diterbitkeun .2.27.1, 2.28.1, 2.29.3 jeung 2021, nu dibereskeun hiji kerentanan (CVE-21300-2.15) anu ngamungkinkeun palaksanaan kode jauh nalika kloning Repository lawan ngagunakeun paréntah "git clone". Sadaya sékrési Git saprak versi XNUMX kapangaruhan.
Masalahna lumangsung nalika nganggo operasi pamariksaan anu ditunda, anu dianggo dina sababaraha saringan beberesih, sapertos anu dikonpigurasi dina Git LFS. Kerentanan ngan bisa dieksploitasi dina sistem file case-insensitive anu ngadukung tautan simbolis, sapertos NTFS, HFS+ sareng APFS (nyaéta dina platform Windows sareng macOS).
Salaku solusi kaamanan, anjeun tiasa nganonaktipkeun pamrosésan symlink dina git ku ngajalankeun "git config —global core.symlinks false", atanapi nganonaktipkeun dukungan saringan prosés nganggo paréntah "git config —show-scope —get-regexp 'filter\.. * \.prosés'". Disarankeun ogé pikeun nyingkahan kloning repositori anu teu diverifikasi.
sumber: opennet.ru