Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 eta 2.17.4 bertsio banatuaren bertsio zuzentzaileak. kanporatu zuena () kudeatzailean "", eta horrek kredentzialak ostalari okerrera bidaltzea eragiten du git bezero bat biltegi batera sartzen denean lerro berriko karakterea duen URL bereziki formatua erabiliz. Ahultasuna beste ostalari baten kredentzialak erasotzaileak kontrolatzen duen zerbitzari batera bidaltzeko erabil daiteke.
"https://evil.com?%0ahost=github.com/" bezalako URL bat zehazten denean, evil.com ostalariaren konektatzean kredentzial-kudeatzaileak github.com-erako zehaztutako autentifikazio-parametroak pasatuko ditu. Arazoa "git clone" bezalako eragiketak egitean gertatzen da, azpimoduluen URLak prozesatzen barne (adibidez, "git submodule update" automatikoki prozesatuko ditu biltegitik .gitmodules fitxategian zehaztutako URLak). Ahultasuna arriskutsuena da garatzaile batek biltegi bat klonatzen duen URLa ikusi gabe, adibidez, azpimoduluekin lan egiten duenean edo ekintza automatikoak egiten dituzten sistemetan, adibidez, paketeak eraikitzeko scriptetan.
Bertsio berrietan ahultasunak blokeatzeko kredentzialak trukatzeko protokoloaren bidez transmititutako edozein baliotan lerro berriko karakterea pasatzea. Banaketarako, paketeen eguneraketen askapenaren jarraipena egin dezakezu orrialdeetan , , , , , , .
Arazoa blokeatzeko konponbide gisa Ez erabili credential.helper biltegi publikoetan sartzean eta ez erabili "git clone" "--recurse-submodules" moduan egiaztatu gabeko biltegiekin. Credential.helper kudeatzailea guztiz desgaitzeko, hori bai eta pasahitzak berreskuratzea , babestuta edo pasahitzak dituen fitxategi bat, komando hauek erabil ditzakezu:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Iturria: opennet.ru