opravná vydání distribuovaného systému řízení zdrojů Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 a 2.17.5, v která eliminovala (), připomínající , vyřazený minulý týden. Nová chyba zabezpečení ovlivňuje také obslužné nástroje „credential.helper“ a je zneužita při předávání speciálně formátované adresy URL obsahující znak nového řádku, prázdný hostitel nebo blíže nespecifikované schéma požadavku. Při zpracování takové adresy URL posílá credential.helper informace o pověřeních, které neodpovídají požadovanému protokolu nebo hostiteli, ke kterému se přistupuje.
Na rozdíl od předchozího problému nemůže útočník při zneužití nové zranitelnosti přímo ovládat hostitele, ze kterého se budou přenášet přihlašovací údaje někoho jiného. Jaké přihlašovací údaje unikají, závisí na tom, jak je v credential.helper zpracován chybějící parametr „host“. Jádrem problému je, že prázdná pole v adrese URL jsou mnoha obslužnými rutinami credential.helper interpretována jako pokyny k použití jakýchkoli pověření na aktuální požadavek. Credential.helper tedy může odeslat přihlašovací údaje uložené pro jiný server na server útočníka uvedený v adrese URL.
Problém nastává při provádění operací jako „git clone“ a „git fetch“, ale nejnebezpečnější je při zpracování submodulů – při provádění „git submodule update“ se automaticky zpracují adresy URL uvedené v souboru .gitmodules z úložiště. Jako řešení k zablokování problému Při přístupu k veřejným repozitářům nepoužívejte credential.helper a nepoužívejte "git clone" v režimu "--recurse-submodules" s nekontrolovanými repozitáři.
Nabízeno v nových verzích Git zabraňuje volání credential.helper pro adresy URL obsahující (například při zadání tří lomítek místo dvou – „http:///hostitel“ nebo bez schématu protokolu – „http::ftp.example.com/“). Problém se týká obslužných rutin úložiště (vestavěné úložiště pověření Git), mezipaměti (vestavěná mezipaměť zadaných pověření) a osxkeychain (úložiště macOS). Obslužná rutina Git Credential Manager (úložiště Windows) není ovlivněna.
Vydání aktualizací balíčků v distribucích můžete sledovat na stránkách , , , , , , , .
Zdroj: opennet.ru