git:恶意存储库可以在克隆时执行远程代码

2021-03-11 01:09:07

日期:星期二,9月20日16:03:37 +0100(CET)来自:Johannes schindelin< Johannes.schindelin @ .... de> to:oss-security @ ... ts.openwall.comcc:git- Security @ ... glegroups.com,Matheus.bernardino @ .... br>主题:git:恶意存储库可以在Cloningteam时执行远程代码,Git项目在星期二发布新版本,3月9日2021Addressing CVE- 2021-21300.此漏洞会影响具有因子不敏感文件系统的平台对符号链接的支持,当全局中断的特定清洁/涂抹过滤器(例如Git LFS)。固定版本为V2.17.6,V2.18.5,V2.19.6,V2。 20.5,v2.21.4,v2.22.5,v2.23.4,v2.24.4,v2.25.5,v2.26.3,v2.27.1,v2.28.1,v2.29.3和v2.30.2.link到公告:https: //lore.kernel.org/git/[email protected]/t/#uwe强烈推荐升级。所说的问题是:* CVE-2021-21300:在不区分大小写的文件系统,与支持符号链接,如果Git在全局配置以应用延迟CAPA BLE清洁/涂抹过滤器(如Git LFS),Git可以在克隆期间被愚弄到运行远程代码。演示利用:#!/ bin / sh git init延迟 - 结帐和amp;& (CD延迟 - 结帐和amp;&回声" a /后结核滤波器= lfs diff = lfs merge = lfs" \> .gitattributes&& mkdir a&& printf&#39 ;#!/ bin / sh \ n \ necho pwned>& 2 \ n'> a /后结账& chmod + x a /后结账&> a / a &&>>& git add -a&& rm -rf a&& ln -s .git / hooks a& git添加a& git提交-m初始)&& git clone延迟结账克隆与git lfs全球启用,这将打印" pwned"在克隆期间,在不敏感的文件系统上,支持符号链接(如NTFS,HFS +等).Credit用于查找漏洞,进入Matheus Tavares谁与我一起修复它。谢谢,约翰内斯