■ 漏洞描述
Git官方修复了Git的一个安全漏洞(CVE-2021-21300)。在Git的多个版本中由于对符号链接处理不严格,导致在不区分大小写的主机在克隆恶意仓库时可能存在远程代码执行漏洞。通过该漏洞,攻击者制作恶意仓库或者向正常仓库提交恶意pr,一旦受害者在Windows克隆这些仓库则可能执行攻击者的恶意脚本。
■ 影响范围
Git >=2.14.2 <=2.30.1
■ 漏洞检测
匹配软件版本
■ 漏洞修复
升级到以下安全版本:
Git 2.30.2, 2.29.3,2.28.1,2.27.1,2.26.3,2.25.5,2.24.4,2.23.4,2.22.5,2.21.4,2.20.5,2.19.6,2.18.5,2.17.6
■ 临时修复
使用git config --global core.symlinks false命令禁用符号链接。同时检查仓库中是否有恶意pr及不克隆不明来源仓库。
■ 漏洞详情
https://github.com/git/git/security/advisories/GHSA-8prw-h3cq-mghm