PT-2021-2388 · Microsoft+6 · Visual Studio+6
Johannes Schindelin
+1
·
Publicado
2021-03-09
·
Atualizado
2024-06-15
·
CVE-2021-21300
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Git 2.14.2 a 2.30.0
Versões do Git 2.15 a 2.17.5
Versões do Git 2.18 a 2.18.4
Versões do Git 2.19 a 2.19.5
Versões do Git 2.20 a 2.20.4
Versões do Git 2.21 a 2.21.3
Versões do Git 2.22 a 2.22.4
Versões do Git 2.23 a 2.23.3
Versões do Git 2.24 a 2.24.3
Versões do Git 2.25 a 2.25.4
Versões do Git 2.26 a 2.26.2
Versões do Git 2.27 a 2.27.0
Versões do Git 2.28 a 2.28.0
Versões do Git 2.29 a 2.29.2
Descrição
O problema está relacionado ao componente Git do software de desenvolvimento Microsoft Visual Studio e está associado a um gerenciamento incorreto da geração de código. Um repositório especialmente criado contendo links simbólicos e arquivos que utilizam um filtro clean/smudge, como o Git LFS, pode fazer com que um script recém-checkoutado seja executado durante a clonagem em um sistema de arquivos que não diferencia maiúsculas de minúsculas, como NTFS, HFS+ ou APFS. Isso pode permitir que um invasor remoto execute código arbitrário. O problema foi corrigido nas versões publicadas na terça-feira, 9 de março de 2021. Como solução alternativa, desativar o suporte a links simbólicos no Git ou não configurar filtros clean/smudge globalmente pode impedir o ataque. É melhor evitar clonar repositórios de fontes não confiáveis.
Recomendações
Para as versões do Git 2.14.2 a 2.17.5, atualize para a versão 2.17.6 ou posterior.
Para as versões do Git 2.18 a 2.18.4, atualize para a versão 2.18.5 ou posterior.
Para as versões do Git 2.19 a 2.19.5, atualize para a versão 2.19.6
Exploit
Correção
Code Injection
Link Following
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Linuxmint
Apple Macos
Visual Studio
Suse
Ubuntu