korektaj eldonoj de la distribua fontkontrolsistemo Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 kaj 2.17.5, en kiu eliminis (), rememoriga , eliminita pasintsemajne. La nova vundebleco ankaŭ influas "credential.helper" pritraktantojn kaj estas ekspluatata kiam oni pasas speciale formatitan URL enhavantan novlinian signon, malplenan gastiganton aŭ nespecifitan peton. Dum prilaborado de tia URL, credential.helper sendas informojn pri akreditaĵoj kiuj ne kongruas kun la petita protokolo aŭ la gastiganto alirebla.
Male al la antaŭa problemo, kiam ĝi ekspluatas novan vundeblecon, la atakanto ne povas rekte kontroli la gastiganton de kiu la akreditaĵoj de iu alia estos transdonitaj. Kiaj akreditaĵoj estas likitaj dependas de kiel la mankanta "gastiganto" parametro estas pritraktita en credential.helper. La kerno de la problemo estas, ke malplenaj kampoj en la URL estas interpretataj de multaj credential.helper-traktiloj kiel instrukcioj por apliki ajnajn akreditaĵojn al la nuna peto. Tiel, credential.helper povas sendi akreditaĵojn konservitajn por alia servilo al la servilo de la atakanto specifita en la URL.
La problemo okazas dum farado de operacioj kiel "git clone" kaj "git fetch", sed estas plej danĝera dum prilaborado de submoduloj - dum elfarado de "git submodule update", la URL-oj specifitaj en la dosiero .gitmodules el la deponejo estas aŭtomate prilaboritaj. Kiel solvo por bloki la problemon Ne uzu credential.helper kiam vi aliras publikajn deponejojn kaj ne uzu "git clone" en "--recurse-submodules" reĝimo kun nekontrolitaj deponejoj.
Ofertite en novaj Git-eldonoj malhelpas voki credential.helper por URL-oj enhavantaj (ekzemple, kiam oni specifas tri obliklojn anstataŭ du - "http:///gastiganto" aŭ sen protokola skemo - "http::ftp.example.com/"). La problemo influas la butikon (enkonstruita Git-akreditaĵostokado), kaŝmemoron (enkonstruita kaŝmemoro de enigitaj akreditaĵoj), kaj osxkeychain (macOS-stokado) pritraktiloj. La prizorganto de Git Credential Manager (Vindoza deponejo) ne estas tuŝita.
Vi povas spuri la liberigon de pakaj ĝisdatigoj en distribuoj sur la paĝoj , , , , , , , .
fonto: opennet.ru