A Git fejlesztői európai idő szerint csütörtök éjszaka jelentették be, hogy egy kritikus sebezhetőséget javítottak ki forráskezelő rendszerükben. A nyílt forrású szoftverben jó ideje megbújó sebezhetőség kihasználásával támadók tetszőleges programkód futtatására kaphatnak lehetőséget a forrástárakhoz hozzáférni próbáló felhasználók gépein.

A sérülékenységet az keletkezteti a Git klienseken, hogy azok nem ugyanúgy különböztetik meg a kis- és nagybetűket a fájlok neveiben, mint ahogy az őket futtató operációs rendszer teszi. Ennek köszönhetően egy manipulált tartalmú Git forrástárral rá lehet venni őket, hogy saját .git/config konfigurációs fájljaikat is felülírják az adott kiszolgálóról származó forrástárak klónozása vagy helyi másolatának frissítése során - a konfiguráció módosításával pedig tetszőleges parancssorok végrehajtása is lehetővé válik.

A sebezhetőség a Windows mellett a Mac OS X-en futó klienseket is érinti, a legtöbb Linux vagy Unix rendszert azonban nem - kivéve persze, ha azokat is valamilyen a fájlneveket normalizáló és/vagy kis- és nagybetűkre érzéketlen fájlrendszeren futtatják.

A Git fejlesztői a sebezhetőséget megszüntető javított verziót (2.2.1) adtak ki szoftverükből, és ugyanígy tett a GitHub is, aki szintén frissítette windows-os és mac-es kliensét. Aki valamilyen más git-alapú forráskezelőt használ, annak értelemszerűen az azt készítő cég vagy társaság honlapján kell frissítés után néznie.