Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 eta 2.17.5 bertsio banatuaren bertsio zuzentzaileak. kanporatu zuena (), gogorarazten duena , joan den astean kanporatua. Ahultasun berriak "credential.helper" kudeatzaileei ere eragiten die eta formateatu bereziko URL bat pasatzen denean lerro berriko karakterea, ostalari huts bat edo zehaztu gabeko eskaera-eskema bat pasatzen denean baliatzen da. URL hori prozesatzen denean, credential.helper-ek eskatutako protokoloarekin edo atzitzen ari den ostalariarekin bat ez datozen kredentzialei buruzko informazioa bidaltzen du.
Aurreko arazoan ez bezala, ahultasun berri bat ustiatzean, erasotzaileak ezin du zuzenean kontrolatu beste norbaiten kredentzialak transferituko dituen ostalaria. Zer kredentzialak filtratzen diren falta den "ostalari" parametroa credential.helper-en kudeatzen denaren araberakoa da. Arazoaren muina da URLko eremu hutsak credential.helper kudeatzaile askok uneko eskaerari kredentzialak aplikatzeko argibide gisa interpretatzen dituztela. Horrela, credential.helper-ek beste zerbitzari baterako gordetako kredentzialak bidal ditzake URLan zehaztutako erasotzailearen zerbitzarira.
Arazoa "git clone" eta "git fetch" bezalako eragiketak egitean gertatzen da, baina arriskutsuena azpimoduluak prozesatzen direnean - "git submodule update" egiten denean, biltegiko .gitmodules fitxategian zehaztutako URLak automatikoki prozesatzen dira. Arazoa blokeatzeko konponbide gisa Ez erabili credential.helper biltegi publikoetan sartzean eta ez erabili "git clone" "--recurse-submodules" moduan egiaztatu gabeko biltegiekin.
Git bertsio berrietan eskaintzen da duten URLetarako credential.helper deitzea eragozten du (adibidez, biren ordez hiru barra zehaztean - "http:///host" edo protokolo-eskemarik gabe - "http::ftp.example.com/"). Arazoak dendan (Git kredentzialen biltegiratze integratua), cachean (sartutako kredentzialen cache integratua) eta osxkeychain (macOS biltegiratzea) kudeatzaileei eragiten die. Git Credential Manager (Windows biltegia) kudeatzaileak ez du eraginik.
Orrialdeetako banaketetan paketeen eguneraketen askapenaren jarraipena egin dezakezu , , , , , , , .
Iturria: opennet.ru