Git安全漏洞检查CVE-2021-21300

原创 于 2021-03-16 10:49:16 发布 · 2.4k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#git

CVE-2021-21300是一种安全漏洞,允许攻击者通过恶意仓库内的symbolic links执行远程代码。此漏洞影响从Git 2.15至2.30.1的版本。当用户克隆包含恶意脚本的仓库时,可能会在本地执行这些脚本。为防止该漏洞被利用,建议用户更新Git至指定版本或禁用symlink功能。

CVE-2021-21300 安全漏洞检查

本项目模拟一个利用CVE-2021-21300漏洞执行仓库内恶意脚本的行为,如果您的git客户端有 CVE-2021-21300 的安全漏洞,执行 git clone 本仓库时会输出以下内容

CVE-2021-21300 detected !!!  Please update your git to fix the vulnerability

CVE-2021-21300 影响分析

由于对 symbolic links 处理的问题,导致在不区分大小写的文件系统例如 NTFS、HFS、APFS等(这些Window和macOS中默认的文件系统)中 clone 仓库时,存在通过 clean/smudge filters (由Git LFS配置使用)执行命令的漏洞,通过该漏洞,受害者clone 恶意仓库时会在本机执行仓库内植入的恶意脚本.

涉及的 Git 版本

  • 从 2.15 至 现有的 2.30.1

触发这个漏洞还有两个前提:

  • 开启了Git LFS
  • 开启了Git symlinks

解决办法

升级到如下版本:

  • v2.17.6, v2.18.5, v2.19.6, v2.20.5, v2.21.4, v2.22.5, v2.23.4, v2.24.4, v2.25.5, v2.26.3, v2.27.1, v2.28.1, v2.29.3, v2.30.2

Workaround

如果不能升级可以通过以下woraround解决

  • 禁用git 的symlink: git config --global core.symlinks false
  • 禁用 process filter (通常是 LFS 使用此功能),可以通过 git config --show-scope --get-regexp 'filter\..*\.process 查看
  • 避免clone 不受信任的仓库

加入社区

Code China平台

参考信息

博客
@开发者们:百度文心大模型4.5正式开源,国内首发平台GitCode现已开放下载!
06-30 917
开发者速来!GitCode即刻下载体验
博客
【投稿赢 iPhone 17】「我的第一个开源项目」故事征集:用代码换C位出道!
03-21 1219
特别说明:iPhone 17 是指 2025 年发布的最新款 iPhone 型号,本活动最终结算以2025年12月31日前发布的文章数据为准。将还获得 GitCode 开源限定礼盒(包含徽章/双肩包/极客文化衫三件套)且阅读量超过 10w+,可直接抱走 iPhone 17 一台!包括 GitCode 订阅号,GitCode 开源探索服务号。🔹 心跳加速,看到项目收获第一个 Star 的狂喜瞬间?🔹 凌晨 3 点,第一次提交代码时颤抖的手?1️⃣ 撰写你的开源故事(成功/踩坑都欢迎)
博客
自动抓取、智能总结,教你用 n8n + DeepSeek-V3 打造 AI 新闻利器!
12-19 456
在 n8n 中,每一个操作都会被拆解为一个节点,通过拖拽和配置,就能自由组合成工作流。得益于开源和高度可扩展的特性,n8n 不仅支持对接各种第三方服务,也非常适合接入大模型构建 AI 自动化场景,让 AI 真正参与到实际工作中。在本示例中,将最大数量设置为 3 条,以避免一次性处理过多内容,影响后续流程的稳定性和执行效率。,找到 模型使用的代码片段,方便后续使用,这里我们选择 DeepSeek-V3。,将 link 拖入节点,它会自动进行轮询替换,实现动态抓取网页内容。节点到画布中,作为整个工作流的起点。
博客
G-Star 精选开源项目推荐|第二期
12-19 450
IvorySQL 是一款先进、功能全面的开源 Oracle 兼容 PostgreSQL,始终承诺 100% 兼容最新版本的 PostgreSQL,并可作为其无缝替代方案。
博客
一键接入顶级代码模型:手把手教你用 Cline 配置 Qwen3-Coder-480B!
12-17 504
而 Qwen3-Coder-480B 则是性能堪比 Claude Sonnet 的超强代码模型,原生支持 256K 长上下文,可轻松处理大型代码库。还在为编程效率低下而焦虑吗?再也不用为重复编码、复杂调试而烦恼,让 AI 成为你的 24 小时编程助手~4. 输入令牌名称,下滑点击“新建”并立即复制保存(页面关闭后无法再次查看);”,认准由 Roo Code/Cline.bot 发布,点击安装即可。3. 进入“个人设置”→“访问令牌”→“新建访问令牌”;将旧代码粘贴给 Cline,要求“优化性能和可读性”;
博客
vLLM Ascend & AtomGit 联合发起:把 Issue 带进汤泉的一次极限 Debug
12-17 227
作为当前最受关注的推理框架之一,正在不断被推向更真实、更复杂的生产环境。而真正的技术突破,往往不发生在 PPT 上,而发生在。从“泡汤 → Debug → 复盘 → 颁奖 → 交流”,一整个技术心流。想把 2025 年最后一次技术活动过得难忘的友友。核心研发 & 专家级导师全程陪跑 Debug。穿着浴袍,在热气腾腾的汤池边想 Issue。当大模型推理进入「性能为王」的阶段,,发起一场与众不同的技术实战营——想体验“和导师一起爽 Debug”就是那种能让你写进简历的“硬活”因为我们想把技术活动,做得。
博客
12.20 杭州|CANN 开发者 Meetup 报名已开启,邀请您与专家面对面
12-17 378
博客
SGLang AI 金融 π 对(杭州站)火热来袭!
12-17 169
分享能实现模型权重秒级更新与快速加载的中间件,以加速强化学习等场景的迭代。同时,社区也展示了在支持 GLM、Mamba 等多样化模型,以及SGLang在昇腾的大模型推理优秀实践。随着模型尺寸的增加和MoE的模型,模型推理的重要性日益显现,GLM布道师将介绍 SGLang 与 GLM 模型的生态建设,重点介绍在 SGLang 上高效部署 GLM,包括基础的部署,PD分离,以及讲解在GLM模型适配中的一些合作历程,包括SGLang框架的适配 以及 联合研发的 Slime开源框架。
博客
2025 AtomGit 最受欢迎 G-Star 项目 & 组织评选活动火热进行中!
12-15 85
2025 AtomGit 最受欢迎 G-Star 项目 & 组织评选活动火热进行中!本次活动面向全体 G-Star 认证个人项目、G-Star 认证开源组织。分个人和组织两个赛道,以项目/组织在 AtomGit 平台的 star 数、贡献者数、仓库数进行综合排名。最终评选出的前 40 名个人项目、前 60 名 G-Star 组织可获得 2026 年 AtomGit 新年福盒和荣誉标签。
博客
源启高校・郑航站圆满落幕!鸿蒙 6.0 适配实战 + 职业机遇双赋能,解锁开源新可能
12-15 278
老师聚焦开源鸿蒙应用升级实战与赛事核心任务,提炼了 API9 到 API20 的升级关键流程,涵盖环境搭建、配置迁移、兼容性处理等核心环节,同时详解开发板升级 OpenHarmony 6.0 的实操要点,为学子参赛提供高效落地的技术指引。老师,解析了 OpenHarmony 的战略价值与职业机遇。未来,AtomGit 将继续携手更多高校,开展技术沙龙、黑客松、开源赛事等丰富活动,让前沿开源技术触达更多年轻开发者,助力高校人才培养与产业需求精准匹配,共建繁荣的 OpenHarmony 开源生态!
博客
揭秘 xLLM 背后的性能密码:昇腾 ATB 加速库如何成为大模型推理 “加速器”
12-15 883
答案是肯定的,通过将首次 kenrel 计算出的 tiling 和 kernel 本身储存起来,后续需要使用该 kernel 和计算 tiling 时,优先寻找是否有可以复用的 kernel 和 tiling,如果有就不重复计算,从而减少 GraphOperation 的 Setup 耗时。观察使用 Setup、Execute 二级流水后的流水图可以发现:图与图之间的空泡仍然存在,其来源在于图的 Setup 过长导致图间的 Execute 下发间隔过大造成了 Device 侧的执行空泡。
博客
G-Star 精选开源项目推荐|12.7 — 12.12
12-15 697
基于 ONNXRuntime、OpenVINO、PaddlePaddle 及 PyTorch 的多平台多语言 OCR 工具包。
博客
AtomGit 拍了拍你,并抛出一个高薪Offer!
12-15 258
不是普通的代码托管!我们坚持“开放、中立、公益”的核心理念,打破传统代码托管边界,将代码托管、模型共享、数据集托管、智能体开发与算力服务深度整合,为全球开发者提供从开发、训练到部署的全链路一站式体验🚀。922 万+ 开发者已集结!90 万+ 月活一起 Coding!
博客
智谱开源天团登陆 AtomGit,4 大模型覆盖多模态全场景!
12-11 1004
基于 Open-AutoGLM 、GLM-4.6V、GLM-ASR-Nano-2512、GLM-TTS 组成的模型矩阵,构建起 “手机操作 + 视觉理解 + 语音识别 + 文本转语音”的全链路多模态 AI 生态。这次开源不仅打破 “AI 只停留在聊天框” 的局限,更以低门槛、高实用性赋能开发者,让中小团队也能快速落地 AI Agent 与多模态应用。如果说传统 AI 是 “只会说的顾问”,那 Open-AutoGLM 就是 “能动手的助手”—— 它是智谱耗时 32 个月研发的。
博客
AI 邂逅开源,共启技术新篇!AtomGit「源启高校」西南大学站圆满落幕
12-09 814
本次活动由西南大学计算机与信息科学学院 软件学院与 AtomGit 联合主办,OpenLoong 开源社区、智源研究院、华为 DevUI 开源社区、西南大学开源与网络安全协会协办,以 “AI 上开源,AI 上 Coding” 为主题,为现场学子带来了一场兼具深度与实操性的技术盛宴。近百名师生齐聚一堂,共探 AI 与开源融合的无限可能。活动现场,五位行业技术专家轮番上阵,从开源实践、人形机器人开发、前端智能化方案、AI 编程应用到具身智能前沿,多维度输出硬核知识,助力学子搭建从理论到实践的桥梁。
博客
开源赋能,智创未来!AtomGit 闪耀浙江财经大学校源行活动
12-09 465
王海明直指 AI 员工落地三大核心挑战,提出元数据驱动的通用解决方案,而这一方案的落地,依托于 AtomGit 开源平台提供的技术支撑,实现了模型开发、数据协同的高效推进,为开源与实体经济融合提供了实用实践范式。作为开源生态的核心参与者,AtomGit 携「源启高校」计划参与此次盛会,以技术分享、生态展示、福利派送等多重形式,与高校师生、行业大咖共探开源 + AI 的创新融合,留下了诸多精彩瞬间。此次校源行活动,是 AtomGit「源启高校」计划的重要一站。
博客
全球开发者先锋大会三大 AI 工作坊联袂登场,AtomGit 邀你共筑智能未来!
12-09 439
依托 AtomGit 开源社区,工作坊将构建开发者共创机制,推动 AI 生态的持续成长与协同创新,助力参与者实现从个体技术提升到生态共建的全面跃升。你将亲身体验 MCP 调用、工具调用等核心技术,完成从“能行动”到“会思考”的 AI Agent 构建全过程。工作坊内容涵盖 AI Agent 构建、模型应用开发与国产算力生态等前沿方向,系统解析从模型构建到应用部署的完整技术路径。这是一次走进 AI 未来的实践旅程,更是从技术学习到生态共建的跃升机会。时间:12 月 13 日 10:00-12:00。
博客
Hunyuan OCR & Z-Image-Turbo 正式上线!两大模型在 NPU 加速平台完成部署,开启 AI 识图新时代!
12-09 1390
作为领先的 OCR 模型,擅长复杂场景、低质量图像识别,提供高精度、强泛化能力的智能文本识别能力。则以极速、高质、可控的生成能力,让图像创作更高效、更真实、更专业。依托开源生态与强大技术实力,两款模型的上线将大幅降低 AI 视觉技术的门槛,加速智能识别与创作在各行业的落地应用。
博客
CANN Meetup 深圳站成功举办,开源开放赋能 AI 产业落地
12-09 988
带来 RWKV 端侧智能体基于 CANN 的推理加速技术分享。依托 CANN 底层能力,双方联合打造 cann-ops-rwkv、rwkv7-acl 等共建项目,实现算子开发、多框架适配与推理优化,适配深圳智能硬件、机器人等产业需求,也为开发者参与开源共建提供路径,推动 AI 技术加速落地。基于 CANN 异构计算优势,团队从模型、架构、多模态融合多维度优化,通过稀疏计算、算子融合、量化压缩等手段,大幅提升推理性能,降低算力成本,满足招投标文件高效处理需求,也为企业级大模型落地提供可行路径。
博客
源启高校·郑航站|OpenHarmony 6.0 适配实战 + 赛事机遇等你来
12-08 300
本次活动作为“OpenHarmony 6.0 适配攻坚——从 API9 到 API20 的应用升级实践”大赛核心推广与培训节点,专为郑航学子打造“理论+实操+赛事+就业”一站式成长平台,助力大家玩转开源鸿蒙技术,抢占职业发展新机遇!开源浪潮已至,鸿蒙机遇在前!12 月 11 日,让我们齐聚郑航,解锁开源技术干货,抢占职业发展先机~搭建与华为、AtomGit 等企业专家的交流桥梁,助力融入鸿蒙开源社区,推动组建郑航校园开源团队;深度了解鸿蒙适配大赛任务、赛程及奖项福利,现场助力组队报名,降低参赛门槛;
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值