Git'te (CVE-2021-29468) yalnızca Cygwin ortamı (Windows'ta temel Linux API'sini taklit etmeye yönelik bir kitaplık ve Windows için bir dizi standart Linux programı) oluştururken ortaya çıkan kritik bir güvenlik açığı belirlendi. Güvenlik açığı, saldırgan tarafından kontrol edilen bir depodan veri alınırken ("git checkout") saldırgan kodunun yürütülmesine olanak tanır. Sorun Cygwin'in git 2.31.1-2 paketinde düzeltildi. Ana Git projesinde sorun henüz çözülmedi (birinin hazır bir paket kullanmak yerine Cygwin için git'i kendi elleriyle oluşturması pek olası değildir).
Güvenlik açığı, Cygwin'in ortamı Windows yerine Unix benzeri bir sistem olarak işlemesinden kaynaklanıyor ve bu da yoldaki '\' karakterinin kullanımında herhangi bir kısıtlamaya neden olmuyor; Cygwin'de ise Windows'ta olduğu gibi bu karakter Dizinleri ayırmak için kullanılır. Sonuç olarak, sembolik bağlantılar ve ters eğik çizgi karakterli dosyalar içeren özel olarak değiştirilmiş bir depo oluşturarak, bu depoyu Cygwin'e yüklerken rastgele dosyaların üzerine yazmak mümkündür (benzer bir güvenlik açığı 2019'da Windows için Git'te giderilmiştir). Saldırgan, dosyaların üzerine yazma yeteneği kazanarak git'teki kanca çağrılarını geçersiz kılabilir ve sistemde rastgele kod çalıştırılmasına neden olabilir.
Kaynak: opennet.ru