Versiones correctivas del sistema de control de código fuente distribuido Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 y 2.17.5, en que eliminó (), que recuerda , eliminado la semana pasada. La nueva vulnerabilidad también afecta a los controladores "credential.helper" y se explota al pasar una URL con formato especial que contiene un carácter de nueva línea, un host vacío o un esquema de solicitud no especificado. Al procesar dicha URL, credential.helper envía información sobre las credenciales que no coinciden con el protocolo solicitado o el host al que se accede.
A diferencia del problema anterior, al explotar una nueva vulnerabilidad, el atacante no puede controlar directamente el host desde el que se transferirán las credenciales de otra persona. Las credenciales que se filtran dependen de cómo se maneja el parámetro "host" que falta en credential.helper. El núcleo del problema es que muchos controladores de credential.helper interpretan los campos vacíos en la URL como instrucciones para aplicar cualquier credencial a la solicitud actual. Por lo tanto, credential.helper puede enviar credenciales almacenadas para otro servidor al servidor del atacante especificado en la URL.
El problema ocurre al realizar operaciones como "git clone" y "git fetch", pero es más peligroso cuando se procesan submódulos: al realizar la "actualización de submódulo git", las URL especificadas en el archivo .gitmodules del repositorio se procesan automáticamente. Como solución alternativa para bloquear el problema. No utilice credential.helper cuando acceda a repositorios públicos y no utilice "git clone" en el modo "--recurse-submodules" con repositorios no marcados.
Ofrecido en nuevas versiones de Git evita llamar a credential.helper para URL que contienen (por ejemplo, al especificar tres barras en lugar de dos - "http:///host" o sin un esquema de protocolo - "http::ftp.example.com/"). El problema afecta a los controladores de almacén (almacenamiento de credenciales Git integrado), caché (caché integrado de credenciales ingresadas) y osxkeychain (almacenamiento de macOS). El controlador Git Credential Manager (repositorio de Windows) no se ve afectado.
Puede realizar un seguimiento del lanzamiento de actualizaciones de paquetes en distribuciones en las páginas , , , , , , , .
Fuente: opennet.ru