Korrekturversionen des verteilten Quellcodeverwaltungssystems Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 und 2.17.5, in was beseitigt wurde (), erinnert , letzte Woche ausgeschieden. Die neue Sicherheitslücke betrifft auch „credential.helper“-Handler und wird ausgenutzt, wenn eine speziell formatierte URL übergeben wird, die ein Zeilenumbruchzeichen, einen leeren Host oder ein nicht spezifiziertes Anforderungsschema enthält. Bei der Verarbeitung einer solchen URL sendet credential.helper Informationen über Anmeldeinformationen, die nicht mit dem angeforderten Protokoll oder dem Host übereinstimmen, auf den zugegriffen wird.
Anders als beim vorherigen Problem kann der Angreifer beim Ausnutzen einer neuen Sicherheitslücke den Host, von dem die Anmeldeinformationen einer anderen Person übertragen werden, nicht direkt kontrollieren. Welche Anmeldeinformationen durchgesickert sind, hängt davon ab, wie der fehlende „host“-Parameter in credential.helper behandelt wird. Der Kern des Problems besteht darin, dass leere Felder in der URL von vielen credential.helper-Handlern als Anweisungen zum Anwenden beliebiger Anmeldeinformationen auf die aktuelle Anfrage interpretiert werden. Somit kann credential.helper für einen anderen Server gespeicherte Anmeldeinformationen an den in der URL angegebenen Server des Angreifers senden.
Das Problem tritt bei der Ausführung von Vorgängen wie „git clone“ und „git fetch“ auf, ist jedoch am gefährlichsten bei der Verarbeitung von Submodulen – bei der Ausführung von „git submodule update“ werden die in der .gitmodules-Datei aus dem Repository angegebenen URLs automatisch verarbeitet. Als Workaround, um das Problem zu blockieren Verwenden Sie credential.helper nicht, wenn Sie auf öffentliche Repositorys zugreifen, und verwenden Sie „git clone“ nicht im „--recurse-submodules“-Modus mit ungeprüften Repositorys.
Wird in neuen Git-Versionen angeboten verhindert den Aufruf von credential.helper für URLs, die enthalten (z. B. bei Angabe von drei Schrägstrichen statt zwei – „http:///host“ oder ohne Protokollschema – „http::ftp.example.com/“). Das Problem betrifft den Store (integrierter Git-Anmeldeinformationsspeicher), den Cache (integrierter Cache der eingegebenen Anmeldeinformationen) und die osxkeychain-Handler (MacOS-Speicher). Der Git Credential Manager-Handler (Windows-Repository) ist nicht betroffen.
Sie können die Veröffentlichung von Paketaktualisierungen in Distributionen auf den Seiten verfolgen , , , , , , , .
Source: opennet.ru