korektivna izdanja distribuiranog sistema izvorne kontrole Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 i 2.17.5, u koji je eliminisao (), podsjeća , eliminisan prošle sedmice. Nova ranjivost također utiče na rukovaoce "credential.helper" i iskorištava se prilikom prosljeđivanja posebno formatiranog URL-a koji sadrži znak novog reda, prazan host ili nespecificiranu šemu zahtjeva. Prilikom obrade takvog URL-a, credential.helper šalje informacije o vjerodajnicama koje ne odgovaraju traženom protokolu ili hostu kojem se pristupa.
Za razliku od prethodnog problema, prilikom eksploatacije nove ranjivosti, napadač ne može direktno kontrolisati host sa kojeg će se prenijeti tuđi akreditivi. Koje vjerodajnice su procurile ovisi o tome kako se upravlja nedostajućim parametrom "host" u credential.helperu. Srž problema je u tome što mnogi rukovaoci credential.helper tumače prazna polja u URL-u kao uputstva za primenu svih akreditiva na trenutni zahtev. Dakle, credential.helper može poslati vjerodajnice pohranjene za drugi server na napadačev server naveden u URL-u.
Problem se javlja prilikom izvođenja operacija kao što su "git clone" i "git fetch", ali je najopasniji kada se obrađuju podmoduli - kada se izvode "git submodule update", URL-ovi navedeni u datoteci .gitmodules iz spremišta se automatski obrađuju. Kao rješenje za blokiranje problema Nemojte koristiti credential.helper kada pristupate javnim spremištima i nemojte koristiti "git clone" u "--recurse-submodules" modu sa neprovjerenim spremištima.
Nudi se u novim Git izdanjima sprječava pozivanje credential.helper za URL-ove koji sadrže (na primjer, kada navedete tri kose crte umjesto dvije - “http:///host” ili bez šeme protokola – “http::ftp.example.com/”). Problem utiče na rukovaoce trgovine (ugrađena Git memorija vjerodajnica), keš (ugrađena keš memorija unesenih vjerodajnica) i osxkeychain (macOS pohrana). To ne utiče na Git Credential Manager (Windows spremište).
Možete pratiti izdavanje ažuriranja paketa u distribucijama na stranicama , , , , , , , .
izvor: opennet.ru