datganiadau cywirol o'r system rheoli ffynhonnell ddosbarthedig Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 a 2.17.5, yn sy'n dileu (), atgof , dileu yr wythnos diwethaf. Mae'r bregusrwydd newydd hefyd yn effeithio ar drinwyr "credential.helper" ac yn cael ei ecsbloetio wrth basio URL wedi'i fformatio'n arbennig sy'n cynnwys nod llinell newydd, gwesteiwr gwag, neu gynllun cais amhenodol. Wrth brosesu URL o'r fath, mae credential.helper yn anfon gwybodaeth am gymwysterau nad ydynt yn cyd-fynd â'r protocol y gofynnwyd amdano neu'r gwesteiwr sy'n cael ei gyrchu.
Yn wahanol i'r broblem flaenorol, wrth ecsbloetio bregusrwydd newydd, ni all yr ymosodwr reoli'r gwesteiwr yn uniongyrchol y bydd tystlythyrau rhywun arall yn cael ei drosglwyddo ohono. Mae pa gymwysterau sy'n cael eu gollwng yn dibynnu ar sut mae'r paramedr “gwesteiwr” coll yn cael ei drin yn credential.helper. Craidd y broblem yw bod meysydd gwag yn yr URL yn cael eu dehongli gan lawer o drinwyr credential.helper fel cyfarwyddiadau i gymhwyso unrhyw gymwysterau i'r cais cyfredol. Felly, gall credential.helper anfon tystlythyrau sydd wedi'u storio ar gyfer gweinydd arall i weinydd yr ymosodwr a nodir yn yr URL.
Mae'r broblem yn digwydd wrth berfformio gweithrediadau megis "git clone" a "git fetch", ond mae'n fwyaf peryglus wrth brosesu is-fodiwlau - wrth berfformio "git submodule update", mae'r URLau a nodir yn y ffeil .gitmodules o'r ystorfa yn cael eu prosesu'n awtomatig. Fel ateb i atal y broblem Peidiwch â defnyddio credential.helper wrth gael mynediad i gadwrfeydd cyhoeddus a pheidiwch â defnyddio "git clone" yn y modd "--recurse-submodules" gyda storfeydd heb eu gwirio.
Wedi'i gynnig mewn datganiadau Git newydd yn atal galw credential.helper ar gyfer URLau sy'n cynnwys (er enghraifft, wrth nodi tri slaes yn lle dau - “http:///host” neu heb gynllun protocol - “http::ftp.example.com/”). Mae'r mater yn effeithio ar y storfa (storfa credential Git adeiledig), storfa (storfa fewnol o gymwysterau a gofnodwyd), a thrinwyr osxkeychain (storfa macOS). Nid yw'r triniwr Git Credential Manager (storfa Windows) yn cael ei effeithio.
Gallwch olrhain rhyddhau diweddariadau pecyn mewn dosbarthiadau ar y tudalennau , , , , , , , .
Ffynhonnell: opennet.ru