今天，Git项目发布用于解决CVE-2021-21300的新版本：a安全漏洞在里面延迟结账机制由Git LFS使用git clone.影响版本2.15和更新的操作。

这些更新解决了一个特制的存储库可以在A期间执行代码的问题git clone.在不区分大小写的文件系统，通过滥用某些类型的清洁/污迹过滤器来支持符号链接，例如由Git LFS配置的那些。

升级到最新的Git版本

保护此漏洞的最有效方法是升级到2.30.2。如果您无法立即更新，则可以通过执行以下任何操作来降低风险：

• 通过运行禁用Git中的符号链接支持git config.
- global core.symlinks false.。
• 禁用支持流程过滤器。（您可以通过运行在系统上配置其中的任何一个git config.
--Show-scope - get-regexp'filter \ .. * \。进程'¹）
• 避免克隆不受信任的存储库。

GitHub本身并不容易受到这种攻击的影响。除了GitHub页面之外，我们不会存储已检查的存储库的副本副本，除了GitHub页面，不会使用任何清洁/涂抹过滤器。

在Matheus Tavares和Johannes Schindelin共享此漏洞的信用。

下载git 2.30.2.。

---

^{1.在Windows命令提示符下，使用双引号替换此示例中的单引号。}