korrigerende udgivelser af det distribuerede kildekontrolsystem Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 og 2.17.5, i som eliminerede (), minder , elimineret i sidste uge. Den nye sårbarhed påvirker også "credential.helper"-handlere og udnyttes, når den videregiver en specielt formateret URL, der indeholder et linjeskifttegn, en tom vært eller et uspecificeret anmodningsskema. Når du behandler en sådan URL, sender credential.helper oplysninger om legitimationsoplysninger, der ikke matcher den anmodede protokol eller den vært, der tilgås.
I modsætning til det tidligere problem kan angriberen, når en ny sårbarhed udnyttes, ikke direkte kontrollere værten, hvorfra en andens legitimationsoplysninger vil blive overført. Hvilke legitimationsoplysninger der lækkes, afhænger af, hvordan den manglende "host"-parameter håndteres i credential.helper. Kernen i problemet er, at tomme felter i URL'en tolkes af mange credential.helper-handlere som instruktioner til at anvende eventuelle legitimationsoplysninger på den aktuelle anmodning. Credential.helper kan således sende legitimationsoplysninger, der er gemt for en anden server, til angriberens server angivet i URL'en.
Problemet opstår, når man udfører operationer såsom "git clone" og "git fetch", men er mest farligt, når man behandler undermoduler - når man udfører "git submodule update", behandles de URL'er, der er angivet i .gitmodules-filen fra repository, automatisk. Som en løsning til at blokere problemet Brug ikke credential.helper, når du får adgang til offentlige arkiver, og brug ikke "git clone" i tilstanden "--recurse-submodules" med umarkerede repositories.
Tilbydes i nye Git-udgivelser forhindrer at kalde credential.helper for URL'er, der indeholder (f.eks. når du angiver tre skråstreger i stedet for to - "http:///host" eller uden et protokolskema - "http::ftp.example.com/"). Problemet påvirker lager (indbygget Git-legitimationslager), cache (indbygget cache af indtastede legitimationsoplysninger) og osxkeychain (macOS-lager) handlere. Git Credential Manager (Windows repository) handleren er ikke påvirket.
Du kan spore udgivelsen af pakkeopdateringer i distributioner på siderne , , , , , , , .
Kilde: opennet.ru