分散式原始碼管理系統 Git 2.30.2、2.17.6、2.18.5、2.19.6、2.20.5、2.21.4、2.22.5、2.23.4、2.24.4、2.25.5、2.26.3、2.27.1.的修正版本已發布,修復了一個漏洞 (CVE-2.28.1-2.29.3),該漏洞允許在使用「git clone」命令克隆攻擊者的儲存庫時執行遠端程式碼。從 2021 版本開始的所有 Git 版本都容易受到此漏洞的影響。
當使用延遲檢出操作時,該問題就會顯現出來,而某些清除過濾器(例如 Git LFS 中配置的過濾器)會使用延遲檢出操作。此漏洞只能在支援符號連結且不區分大小寫的檔案系統(例如 NTFS、HFS+ 和 APFS)上利用(即在 NTFS、HFS+ 和 APFS 等平台上)。 Windows и macOS).
解決方法是,您可以透過執行「git config --global core.symlinks false」來停用 git 對符號連結的處理,或透過執行「git config --show-scope --get-regexp 'filter\..*\.process'」來停用對過濾程序的支援。此外,建議您避免複製不受信任的倉庫。
來源: opennet.ru
