На днях Git зарелизил патч-версии, где устраняются сразу несколько серьёзных уязвимостей.
Список патчей:
v2.24.1, v2.23.1, v2.22.2, v2.21.1, v2.20.2, v2.19.3, v2.18.2, v2.17.3, v2.16.6, v2.15.4, v2.14.6
Как видите, проапдейтиться имеет смысл, если вы используете Git 2.24 или старше.
Обновиться настоятельно рекомендуют всем, а особенно настоятельно — пользователям Windows, т.к. именно на этой ОС часть закрытых проблем позволяла злоумышленнику выполнить вредоносный код, когда жертва клонирует заражённый репозиторий.
Никаких способов (кроме обновления Git) полностью защититься при клонировании репозитория нет, можно лишь немного нивелировать риск, если:
- Избегать запуска git clone --recurse-submodules и git submodule update для ненадежных репозиториев.
- Отказаться от git fast-import на ненадежных входных потоках.
- Избегать клонирования ненадежных репозиториев в монтируемые NTFS на любой ОС.
Обновиться имеет смысл даже в случае, если вы пользуетесь только GitHub или GitLab, т.к. это гораздо надёжнее, чем полагаться на расторопность сторонних сервисов.
[ источник ]
