Vulnerabilidad en Git (CVE-2024-32021)

Git es un sistema de control de revisiones. Antes de las versiones 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 y 2.39.4, al clonar un repositorio de origen local que contiene enlaces simbólicos a través del sistema de archivos, Git puede crear enlaces duros a archivos arbitrarios legibles por el usuario en el mismo sistema de archivos que el repositorio de destino en el directorio `objects/`. Clonar un repositorio local sobre el sistema de archivos puede crear enlaces duros a archivos arbitrarios propiedad del usuario en el mismo sistema de archivos en el directorio `objects/` del repositorio Git de destino. Al clonar un repositorio a través del sistema de archivos (sin especificar explícitamente el protocolo `file://` o `--no-local`), se utilizarán las optimizaciones para la clonación local, que incluyen intentar vincular los archivos objeto en lugar de copiarlos. a ellos. Si bien el código incluye verificaciones de enlaces simbólicos en el repositorio de origen, que se agregaron durante la corrección de CVE-2022-39253, estas verificaciones aún se pueden ejecutar porque la operación de enlace físico finalmente sigue enlaces simbólicos. Si el objeto en el sistema de archivos aparece como un archivo durante la verificación, y luego como un enlace simbólico durante la operación, esto permitirá al adversario eludir la verificación y crear vínculos físicos en el directorio de objetos de destino a archivos arbitrarios legibles por el usuario. El problema se solucionó en las versiones 2.45.1, 2.44.1, 2.43.4, 2.42.2, 2.41.1, 2.40.2 y 2.39.4.