hajautetun lähteen ohjausjärjestelmän Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 ja 2.17.5 korjaavat julkaisut joka eliminoi (), mieleentuova , poistettiin viime viikolla. Uusi haavoittuvuus vaikuttaa myös "credential.helper" -käsittelijöihin, ja sitä hyödynnetään välitettäessä erikoismuotoiltua URL-osoitetta, joka sisältää rivinvaihtomerkin, tyhjän isännän tai määrittelemättömän pyyntömallin. Käsitellessään tällaista URL-osoitetta credential.helper lähettää tietoja valtuustiedoista, jotka eivät vastaa pyydettyä protokollaa tai käytettävää isäntäkonetta.
Toisin kuin edellisessä ongelmassa, hyökkääjä ei voi uutta haavoittuvuutta hyödyntäessään hallita suoraan isäntäkonetta, josta jonkun toisen tunnistetiedot siirretään. Vuotavat tunnistetiedot riippuvat siitä, kuinka puuttuvaa "host"-parametria käsitellään credential.helperissä. Ongelman ydin on, että monet credential.helper-käsittelijät tulkitsevat URL-osoitteen tyhjät kentät ohjeiksi käyttää mitä tahansa tunnistetietoja nykyiseen pyyntöön. Siten credential.helper voi lähettää toiselle palvelimelle tallennetut tunnistetiedot URL-osoitteessa määritettyyn hyökkääjän palvelimeen.
Ongelma ilmenee suoritettaessa toimintoja, kuten "git clone" ja "git fetch", mutta se on vaarallisin alimoduuleita käsiteltäessä - kun suoritetaan "git submodule update", arkiston .gitmodules-tiedostossa määritetyt URL-osoitteet käsitellään automaattisesti. Kiertokeinona ongelman estämiseksi Älä käytä tiedostoa credential.helper, kun käytät julkisia tietovarastoja, äläkä käytä "git clone" -toimintoa "--recurse-submodules" -tilassa, kun arkistoja ei ole valittu.
Tarjotaan uusissa Git-julkaisuissa estää credential.helperin kutsumisen URL-osoitteille, jotka sisältävät (esimerkiksi kun määritetään kolme kauttaviivaa kahden sijaan - "http:///host" tai ilman protokollamallia - "http::ftp.example.com/"). Ongelma koskee kauppaa (sisäänrakennettu Git-tunnistetietojen tallennustila), välimuistia (sisäänrakennettu välimuisti syötetyistä tunnistetiedoista) ja osxkeychain-käsittelijöitä (macOS-tallennustila). Tämä ei vaikuta Git Credential Manager (Windows-varasto) -käsittelijään.
Voit seurata pakettipäivitysten julkaisua sivuilla olevissa jakeluissa , , , , , , , .
Lähde: opennet.ru