分布式源代码控制系统 Git 2.30.2、2.17.6、2.18.5、2.19.6、2.20.5、2.21.4、2.22.5、2.23.4、2.24.4、2.25.5、2.26.3 的纠正版本已发布 .2.27.1、2.28.1、2.29.3 和 2021,修复了一个漏洞 (CVE-21300-2.15),该漏洞允许在使用“git clone”命令克隆攻击者的存储库时远程执行代码。 自版本 XNUMX 以来的所有 Git 版本都会受到影响。
使用延迟签出操作时会出现此问题,这些操作在某些清理过滤器中使用,例如在 Git LFS 中配置的过滤器。 该漏洞只能在支持符号链接的不区分大小写的文件系统上利用,例如 NTFS、HFS+ 和 APFS(即在 Windows 和 macOS 平台上)。
作为一种安全解决方法,您可以通过运行“git config —global core.symlinks false”来禁用 git 中的符号链接处理,或者使用命令“git config —show-scope —get-regexp 'filter\.. *”禁用进程过滤器支持\。过程'”。 还建议避免克隆未经验证的存储库。
来源: opennet.ru