Уязвимость классов DirCacheCheckout, ResolveMerger, PullCommand и PatchApplier системы контроля версий Git на языке Java Eclipse JGit связана с неправильной обработкой данных, чувствительных к регистру при клонировании репозиториев в файловую систему. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
Компенсирующие меры:
Установка параметра конфигурации git core.symlinks = false перед проверкой позволяет избежать этой проблемы.
Использование рекомендаций:
Для Eclipse JGit:
https://git.eclipse.org/c/jgit/jgit.git/commit/?id=9072103f3b3cf64dd12ad2949836ab98f62dabf1
https://repo.eclipse.org/content/groups/releases/org/eclipse/jgit/org.eclipse.jgit.repository/6.6.1.202309021850-r/
https://mvnrepository.com/artifact/org.eclipse.jgit/org.eclipse.jgit/6.6.1.202309021850-r
https://mvnrepository.com/artifact/org.eclipse.jgit/org.eclipse.jgit/6.7.0.202309050840-r
https://mvnrepository.com/artifact/org.eclipse.jgit/org.eclipse.jgit
https://projects.eclipse.org/projects/technology.jgit/releases/6.6.1
https://gitlab.eclipse.org/security/vulnerability-reports/-/issues/11
| Балл | 10 — критическая опасность |