corrective releases sa distributed source control system Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 ug 2.17.5, sa nga giwagtang (), makapahinumdom , giwagtang sa miaging semana. Ang bag-ong kahuyang makaapekto usab sa mga tigdumala sa "credential.helper" ug gipahimuslan kung nagpasa sa usa ka espesyal nga pormat nga URL nga adunay sulud nga karakter sa bag-ong linya, usa ka walay sulod nga host, o usa ka wala piho nga laraw sa paghangyo. Kung giproseso ang ingon nga URL, ang credential.helper nagpadala og impormasyon bahin sa mga kredensyal nga dili motakdo sa gipangayo nga protocol o sa host nga gi-access.
Dili sama sa miaging problema, kung nagpahimulos sa usa ka bag-ong kahuyang, ang tig-atake dili direktang makontrol ang host diin ang mga kredensyal sa uban ibalhin. Unsa nga mga kredensyal ang na-leak nagdepende kung giunsa pagdumala ang nawala nga parameter nga "host" sa credential.helper. Ang kinauyokan sa problema mao nga ang walay sulod nga mga natad sa URL gihubad sa daghang mga credential.helper handler isip mga instruksyon sa paggamit sa bisan unsang mga kredensyal sa kasamtangan nga hangyo. Sa ingon, ang credential.helper makapadala sa mga kredensyal nga gitipigan para sa laing server sa server sa tig-atake nga gipiho sa URL.
Ang problema mahitabo sa diha nga ang pagbuhat sa mga operasyon sama sa "git clone" ug "git fetch", apan mao ang labing delikado sa diha nga pagproseso sa mga submodules - sa pagbuhat sa "git submodule update", ang mga URL nga espesipiko sa .gitmodules file gikan sa repositoryo awtomatikong giproseso. Ingon usa ka solusyon aron mapugngan ang problema Ayaw gamita ang credential.helper kung mag-access sa mga pampublikong repositoryo ug ayaw gamita ang "git clone" sa "--recurse-submodules" mode nga wala'y check nga mga repositoryo.
Gitanyag sa bag-ong Git releases nagpugong sa pagtawag sa credential.helper alang sa mga URL nga adunay sulod (pananglitan, kung nagpiho sa tulo ka mga slash imbes nga duha - "http:///host" o walay protocol scheme - "http::ftp.example.com/"). Ang isyu makaapekto sa tindahan (built-in Git credential storage), cache (built-in cache sa gisulod nga mga kredensyal), ug osxkeychain (macOS storage) handler. Ang Git Credential Manager (Windows repository) handler dili apektado.
Mahimo nimong masubay ang pagpagawas sa mga update sa package sa mga distribusyon sa mga panid , , , , , , , .
Source: opennet.ru