git clone漏洞宣布

2021-03-11 16:17:28

今天,GIT项目发布了新版本来解决CVE-2021-21300:Git LFS在影响版本2.15和较新的GIT LFS期间使用的延迟结账机制中的安全漏洞。

这些更新地址解决了一个问题,其中特制的存储库可以在不区分大小写的文件系统上在Git Clone期间执行代码,这些文件系统通过滥用某些类型的清洁/涂抹过滤器,如Git LFS配置的那样。

保护此漏洞的最有效方法是升级到2.30.2。如果您无法立即更新,则可以通过执行以下任何操作来降低风险:

禁用对流程过滤器的支持。 (您可以通过运行git config - show-scope - get-regexp&#39,看看您的系统上是否配置了其中任何一个。过滤\ .. * \。过程' 1)

GitHub本身并不容易受到这种攻击的影响。除了GitHub页面之外,我们不会存储已检查的存储库的副本副本,除了GitHub页面,不会使用任何清洁/涂抹过滤器。

在Matheus Tavares和Johannes Schindelin共享此漏洞的信用。

1.在Windows命令提示符下,使用双引号替换此示例中的单引号。