versions correctives du système de contrôle de source distribué Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 et 2.17.5, en qui a éliminé (), qui rappelle , éliminé la semaine dernière. La nouvelle vulnérabilité affecte également les gestionnaires « credential.helper » et est exploitée lors du passage d'une URL spécialement formatée contenant un caractère de nouvelle ligne, un hôte vide ou un schéma de requête non spécifié. Lors du traitement d'une telle URL, credential.helper envoie des informations sur les informations d'identification qui ne correspondent pas au protocole demandé ou à l'hôte auquel vous accédez.
Contrairement au problème précédent, lors de l'exploitation d'une nouvelle vulnérabilité, l'attaquant ne peut pas contrôler directement l'hôte à partir duquel les informations d'identification de quelqu'un d'autre seront transférées. Les informations d'identification divulguées dépendent de la façon dont le paramètre « hôte » manquant est géré dans credential.helper. Le cœur du problème est que les champs vides de l'URL sont interprétés par de nombreux gestionnaires credential.helper comme des instructions permettant d'appliquer des informations d'identification à la requête en cours. Ainsi, credential.helper peut envoyer les informations d'identification stockées pour un autre serveur au serveur de l'attaquant spécifié dans l'URL.
Le problème se produit lors de l'exécution d'opérations telles que "git clone" et "git fetch", mais est plus dangereux lors du traitement des sous-modules - lors de l'exécution de "git submodule update", les URL spécifiées dans le fichier .gitmodules du référentiel sont automatiquement traitées. Comme solution de contournement pour bloquer le problème N'utilisez pas credential.helper lors de l'accès aux référentiels publics et n'utilisez pas "git clone" en mode "--recurse-submodules" avec des référentiels non cochés.
Offert dans les nouvelles versions de Git empêche d'appeler credential.helper pour les URL contenant (par exemple, lorsque vous spécifiez trois barres obliques au lieu de deux - « http:///host » ou sans schéma de protocole - « http::ftp.example.com/ »). Le problème affecte le magasin (stockage des informations d’identification Git intégré), le cache (cache intégré des informations d’identification saisies) et les gestionnaires osxkeychain (stockage macOS). Le gestionnaire Git Credential Manager (dépôt Windows) n’est pas affecté.
Vous pouvez suivre la publication des mises à jour de packages dans les distributions sur les pages , , , , , , , .
Source: opennet.ru