Mga corrective release ng distributed source control system Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 ay nai-publish na .2.27.1, 2.28.1, 2.29.3 at 2021, na nag-ayos ng kahinaan (CVE-21300-2.15) na nagpapahintulot sa malayuang pagpapatupad ng code kapag nag-clone ng repositoryo ng isang attacker gamit ang command na "git clone". Ang lahat ng mga release ng Git mula noong bersyon XNUMX ay apektado.
Ang problema ay nangyayari kapag gumagamit ng ipinagpaliban na mga pagpapatakbo ng pag-checkout, na ginagamit sa ilang mga filter ng paglilinis, tulad ng mga na-configure sa Git LFS. Magagamit lang ang kahinaan sa mga case-insensitive na file system na sumusuporta sa mga simbolikong link, gaya ng NTFS, HFS+ at APFS (ibig sabihin, sa mga platform ng Windows at macOS).
Bilang solusyon sa seguridad, maaari mong i-disable ang pagpoproseso ng symlink sa git sa pamamagitan ng pagpapatakbo ng βgit config βglobal core.symlinks falseβ, o huwag paganahin ang suporta sa filter ng proseso gamit ang command na βgit config βshow-scope βget-regexp 'filter\.. * \.proseso'". Inirerekomenda din na maiwasan ang pag-clone ng mga hindi na-verify na repositoryo.
Pinagmulan: opennet.ru