การแก้ไขระบบควบคุมแหล่งที่มาแบบกระจาย Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 ได้รับการเผยแพร่ .2.27.1, 2.28.1, 2.29.3 และ 2021 ซึ่งแก้ไขช่องโหว่ (CVE-21300-2.15) ที่อนุญาตให้เรียกใช้โค้ดจากระยะไกลเมื่อทำการโคลนพื้นที่เก็บข้อมูลของผู้โจมตีโดยใช้คำสั่ง “git clone” Git ทั้งหมดตั้งแต่เวอร์ชัน XNUMX ได้รับผลกระทบ
ปัญหาเกิดขึ้นเมื่อใช้การดำเนินการชำระเงินแบบเลื่อนออกไป ซึ่งใช้ในตัวกรองการล้างข้อมูลบางตัว เช่น ที่กำหนดค่าใน Git LFS ช่องโหว่นี้สามารถถูกโจมตีได้เฉพาะบนระบบไฟล์ที่ไม่คำนึงถึงขนาดตัวพิมพ์ที่รองรับลิงก์สัญลักษณ์ เช่น NTFS, HFS+ และ APFS (เช่น บนแพลตฟอร์ม Windows และ macOS)
วิธีแก้ปัญหาด้านความปลอดภัย คุณสามารถปิดใช้งานการประมวลผล Symlink ใน git ได้โดยการเรียกใช้ “git config —global core.symlinks false” หรือปิดใช้งานการสนับสนุนตัวกรองกระบวนการโดยใช้คำสั่ง “git config —show-scope —get-regexp 'filter\.. * \.กระบวนการ'". ขอแนะนำเพื่อหลีกเลี่ยงการโคลนที่เก็บข้อมูลที่ไม่ผ่านการตรวจสอบ
ที่มา: opennet.ru