CVE-2024-32021

Nome do software vulnerável e versões afetadas:

Versões do Git anteriores à 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 e 2.39.4

Descrição:

O problema está relacionado ao Git, um sistema de controle de revisões. Ao clonar um repositório de código-fonte local que contenha links simbólicos por meio do sistema de arquivos, o Git pode criar links físicos para arquivos arbitrários legíveis pelo usuário no mesmo sistema de arquivos que o repositório de destino, no diretório objects/. Isso ocorre porque as otimizações para clonagem local incluem a tentativa de criar links físicos para os arquivos de objeto em vez de copiá-los, e as verificações contra links simbólicos no repositório de código-fonte podem ser contornadas.

Recomendações:

Para resolver o problema em cada versão afetada, atualize para a versão 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 ou 2.39.4, ou posterior.

Como solução alternativa temporária, considere usar a opção --no-local ao clonar um repositório pelo sistema de arquivos para impedir a criação de links físicos.

Restrinja o acesso ao diretório objects/ no repositório Git de destino para minimizar o risco de exploração.

Evite usar o protocolo do sistema de arquivos ao clonar um repositório local e, em vez disso, especifique explicitamente o protocolo file:// para impedir o uso de otimizações de clonagem local.