git clone漏洞宣布

Taylor Blau的形象

今天,Git项目发布用于解决CVE-2021-21300的新版本:a安全漏洞在里面延迟结账机制由Git LFS使用git clone.影响版本2.15和更新的操作。

这些更新解决了一个特制的存储库可以在A期间执行代码的问题git clone.在不区分大小写的文件系统,通过滥用某些类型的清洁/污迹过滤器来支持符号链接,例如由Git LFS配置的那些。

升级到最新的Git版本

保护此漏洞的最有效方法是升级到2.30.2。如果您无法立即更新,则可以通过执行以下任何操作来降低风险:

  • 通过运行禁用Git中的符号链接支持git config.
    - global core.symlinks false.
  • 禁用支持流程过滤器。(您可以通过运行在系统上配置其中的任何一个git config.
    --Show-scope - get-regexp'filter \ .. * \。进程'
    1
  • 避免克隆不受信任的存储库。

GitHub本身并不容易受到这种攻击的影响。除了GitHub页面之外,我们不会存储已检查的存储库的副本副本,除了GitHub页面,不会使用任何清洁/涂抹过滤器。

在Matheus Tavares和Johannes Schindelin共享此漏洞的信用。

下载git 2.30.2.


1.在Windows命令提示符下,使用双引号替换此示例中的单引号。