Актуализация на Git с коригирана друга уязвимост

Публикувано коригиращи версии на системата за контрол на разпределения код Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 и 2.17.5, в което елиминира уязвимост (CVE-2020 11008-), напомнящ проблемът, елиминиран миналата седмица. Новата уязвимост също засяга манипулаторите на "credential.helper" и се използва при предаване на специално форматиран URL, съдържащ символ за нов ред, празен хост или неуточнена схема на заявка. Когато обработва такъв URL, credential.helper изпраща информация за идентификационни данни, които не съответстват на заявения протокол или хоста, до който се осъществява достъп.

За разлика от предишния проблем, когато се използва нова уязвимост, атакуващият не може директно да контролира хоста, от който ще бъдат прехвърлени идентификационните данни на някой друг. Какви идентификационни данни са изтекли зависи от това как се обработва липсващият параметър „host“ в credential.helper. Същността на проблема е, че празните полета в URL адреса се интерпретират от много манипулатори на credential.helper като инструкции за прилагане на идентификационни данни към текущата заявка. По този начин credential.helper може да изпрати идентификационни данни, съхранени за друг сървър, до сървъра на атакуващия, посочен в URL адреса.

Проблемът възниква при извършване на операции като "git clone" и "git fetch", но е най-опасен при обработката на подмодули - при извършване на "git submodule update" автоматично се обработват URL адресите, посочени във файла .gitmodules от хранилището. Като решение за блокиране на проблема препоръчва се Не използвайте credential.helper при достъп до публични хранилища и не използвайте "git clone" в режим "--recurse-submodules" с непроверени хранилища.

Предлага се в нови версии на Git корекция предотвратява извикването на credential.helper за URL адреси, съдържащи непредставими стойности (например при посочване на три наклонени черти вместо две - “http:///host” или без схема на протокол - “http::ftp.example.com/”). Проблемът засяга манипулаторите на магазина (вградено хранилище за идентификационни данни на Git), кеша (вграден кеш на въведените идентификационни данни) и osxkeychain (съхранение на macOS). Манипулаторът Git Credential Manager (хранилище на Windows) не е засегнат.

Можете да проследите пускането на актуализации на пакети в дистрибуции на страниците Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Арка, ALT, FreeBSD.

Източник: opennet.ru