Вышло обновление популярной распределённой системы управления версиями git (v1.8.5.6, v1.9.5, v2.0.5, v2.1.4, и v2.2.1)
Релиз закрывает дыру в безопасности (CVE-2014-9390).
Данный баг позволяет специально сформированным деревом переписать .git/config в репозитории на case-insensitive файловых системах (в tree включается .Git/config). Это, в свою очередь, приводит к возможности выполнения произвольного кода на клиенте. Директория .git на сервере не модифицируется.
Уязвимость кроется в устройстве файловых систем на машинах клиентов. Так, ФС, не различающие (или нормализующие) регистр символов, подвержены атакам: NTFS, FAT на Windows и HFS+ на Mac OS X.
Не смотря на то, что Linux системы не подвержены уязвимости, обновиться советуют всем и как можно скорее. Особое внимаение следует уделять репозиториям, клонируемым из непроверенных источников.
Наличие уязвимости также подтверждено в системе управления версиями Mercurial (hg) и исправлено в выпуске 3.2.3.
>>> Подробности