Korrigerande utgåvor av det distribuerade källkontrollsystemet Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3. har publicerats .2.27.1, 2.28.1, 2.29.3 och 2021, som fixade en sårbarhet (CVE-21300-2.15) som tillåter fjärrkörning av kod vid kloning av en angripares arkiv med kommandot "git clone". Alla utgåvor av Git sedan version XNUMX påverkas.
Problemet uppstår när man använder uppskjutna utcheckningsoperationer, som används i vissa rensningsfilter, till exempel de som är konfigurerade i Git LFS. Sårbarheten kan endast utnyttjas på skiftlägeskänsliga filsystem som stöder symboliska länkar, såsom NTFS, HFS+ och APFS (dvs på Windows- och macOS-plattformar).
Som en säkerhetslösning kan du inaktivera symlink-bearbetning i git genom att köra "git config —global core.symlinks false", eller inaktivera processfilterstöd med kommandot "git config —show-scope —get-regexp 'filter\.. * \.bearbeta'". Det rekommenderas också att undvika kloning av overifierade arkiv.
Källa: opennet.ru