hajutatud allika juhtimissüsteemi Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 ja 2.17.5 korrigeerivad väljalasked mis kõrvaldas (), meenutab , kõrvaldati eelmisel nädalal. Uus haavatavus mõjutab ka "credential.helper" töötlejaid ja seda kasutatakse spetsiaalselt vormindatud URL-i edastamisel, mis sisaldab reavahetusmärki, tühja hosti või määratlemata päringu skeemi. Sellise URL-i töötlemisel saadab credential.helper teavet mandaatide kohta, mis ei ühti taotletud protokolliga või hostiga, millele juurde pääseb.
Erinevalt eelmisest probleemist ei saa ründaja uut haavatavust ära kasutades juhtida otse hosti, millelt kellegi teise mandaadid üle kantakse. Lekkivad mandaadid sõltuvad sellest, kuidas failis credential.helper käsitletakse puuduvat hostiparameetrit. Probleemi tuum seisneb selles, et paljud faili credential.helper töötlejad tõlgendavad URL-i tühje välju kui juhiseid praegusele päringule mis tahes mandaadi rakendamiseks. Seega saab credential.helper saata teise serveri jaoks salvestatud mandaadid URL-is määratud ründaja serverisse.
Probleem ilmneb selliste toimingute sooritamisel nagu "git clone" ja "git fetch", kuid kõige ohtlikum on alammoodulite töötlemisel – "git submodule update" sooritamisel töödeldakse automaatselt hoidlast .gitmodules failis määratud URL-e. Lahendusena probleemi blokeerimiseks Ärge kasutage avalikele hoidlatele juurdepääsul faili credential.helper ja ärge kasutage režiimis "--recurse-submodules" märkimata hoidlate puhul "git clone".
Pakutakse uutes Giti väljaannetes takistab credential.helper kutsumist URL-ide puhul, mis sisaldavad (näiteks kolme kaldkriipsu määramisel kahe asemel - "http:///host" või ilma protokolliskeemita - "http::ftp.example.com/"). Probleem mõjutab poodi (sisseehitatud Giti mandaatide salvestusruum), vahemälu (sisestatud mandaatide sisseehitatud vahemälu) ja osxkeychaini (macOS-i salvestusruumi) töötlejaid. See ei mõjuta Git Credential Manageri (Windowsi hoidla) töötlejat.
Saate jälgida pakettide värskenduste avaldamist lehtedel olevates distributsioonides , , , , , , , .
Allikas: opennet.ru