Acaba de ser divulgado o CVE-2021-21300. Trata-se de uma vulnerabilidade de segurança que afeta o git clone e pode fazer com que repositórios especialmente criados sejam capazes de executar código durante o Git clone process. As versões do Git até v2.15 são afetadas por esta vulnerabilidade de segurança.
Repositórios especialmente criados podem executar código durante o processo de git clone em sistemas de arquivos que não diferenciam maiúsculas de minúsculas com suporte para links simbólicos. A vulnerabilidade decorre de filtros limpos e borrados sendo abusados ??como aqueles usados ??pelo Git LFS.
Veja como a vulnerabilidade atinge o “git clone”
O projeto Git lançou novas versões para lidar com CVE-2021-21300: uma vulnerabilidade de segurança no mecanismo de checkout atrasado usado pelo Git LFS durante
git clone
operações que afetam as versões 2.15 e mais recentes.
Essas atualizações tratam de um problema em que um repositório especialmente criado pode executar código durante um git clone
sistema de arquivos sem distinção entre maiúsculas e minúsculas que suportam links simbólicos abusando de certos tipos de filtros limpar / borrar, como aqueles configurados pelo Git LFS.
Atualizem o quanto antes
Os usuários são encorajados a atualizar para o Git 2.30.2 o mais rápido possível ou pelo menos desabilitar o suporte para links simbólicos no Git ou desabilitar o suporte para filtros de processo. Ou simplesmente não vá clonando de repositórios não confiáveis.
O GitHub em si não é vulnerável a esse ataque. Não armazenamos cópias retiradas de repositórios em nossos servidores, exceto para páginas do GitHub, que não usa filtros de limpeza.
Mais detalhes sobre esta vulnerabilidade do Git clone podem ser encontrados no blog do GitHub. Lá você encontrará todas as instruções de como fazer o processo. Reforçando que os repositórios hospedados pelo GitHub não são afetados por esta vulnerabilidade.
Você também poderá baixar a nova versão já corrigida neste link:
Faça download do Git 2.30.2.