Nová zranitelnost verzovacího systému Git umožňuje vzdálené spuštění kódu během rekurzivního klonování repozitáře, pokud k němu dochází na souborový systém necitlivý na velikost písmen a zároveň podporující symbolické odkazy. Chyba v logice způsobí, že během klonování submodulů je možné zapsat libovolná data do adresáře .git a tímto způsobem například i zapsat hook, který se rovnou spustí během klonování repozitáře.
Zranitelnost má označení CVE-2024-32002. Je opravena ve verzích v2.45.1, v2.44.1, v2.43.4, v2.42.2, v2.41.1, v2.40.2 a v2.39.4. K deaktivaci zranitelnosti je také možné vypnout podporu symlinků, pokud není potřeba, například příkazem:
$ git config --global core.symlinks false
ČLÁNKY DO MAILU