تقسیم شدہ سورس کنٹرول سسٹم Git 2.30.2, 2.17.6, 2.18.5, 2.19.6, 2.20.5, 2.21.4, 2.22.5, 2.23.4, 2.24.4, 2.25.5, 2.26.3 کی اصلاحی ریلیز 2.27.1، 2.28.1، 2.29.3 اور 2021 شائع کیے گئے ہیں، جس نے ایک کمزوری (CVE-21300-2.15) کو طے کیا ہے جو "گٹ کلون" کمانڈ کا استعمال کرتے ہوئے حملہ آور کے ذخیرے کی کلوننگ کرتے وقت ریموٹ کوڈ پر عمل درآمد کی اجازت دیتا ہے۔ ورژن XNUMX کے بعد سے Git کی تمام ریلیزز متاثر ہیں۔
مسئلہ اس وقت ہوتا ہے جب موخر چیک آؤٹ آپریشنز کا استعمال کیا جاتا ہے، جو کچھ کلین اپ فلٹرز میں استعمال ہوتے ہیں، جیسے کہ Git LFS میں کنفیگر کیے گئے ہیں۔ کمزوری کا فائدہ صرف کیس کے غیر حساس فائل سسٹمز پر کیا جا سکتا ہے جو علامتی لنکس کو سپورٹ کرتے ہیں، جیسے NTFS، HFS+ اور APFS (یعنی ونڈوز اور macOS پلیٹ فارمز پر)۔
سیکیورٹی کے حل کے طور پر، آپ "git config —global core.symlinks false" چلا کر گٹ میں symlink پروسیسنگ کو غیر فعال کر سکتے ہیں، یا کمانڈ کا استعمال کرتے ہوئے "git config —show-scope —get-regexp 'filter\..* \.process'"۔ غیر تصدیق شدہ ذخیروں کی کلوننگ سے بچنے کی بھی سفارش کی جاتی ہے۔
ماخذ: opennet.ru