korrektive releases fan it ferspraat boarne kontrôle systeem Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 en 2.17.5, yn dy't eliminearre (), tinken oan , eliminearre ferline wike. De nije kwetsberens hat ek ynfloed op "credential.helper"-hannelers en wurdt eksploitearre by it trochjaan fan in spesjaal opmakke URL dy't in newline-karakter, in lege host, of in net spesifisearre fersykskema befettet. By it ferwurkjen fan sa'n URL stjoert credential.helper ynformaasje oer bewiisbrieven dy't net oerienkomme mei it frege protokol of de host dy't tagong wurdt.
Oars as it foarige probleem, by it eksploitearjen fan in nije kwetsberens, kin de oanfaller de host net direkt kontrolearje wêrfan de bewiisbrieven fan in oar wurde oerdroegen. Hokker bewiisbrieven wurde útlekt hinget ôf fan hoe't de ûntbrekkende "host" parameter wurdt behannele yn credential.helper. De kearn fan it probleem is dat lege fjilden yn 'e URL wurde ynterpretearre troch in protte credential.helper-hannelers as ynstruksjes foar it tapassen fan alle bewiisbrieven op it aktuele fersyk. Sa kin credential.helper referinsjes stjoere opslein foar in oare server nei de server fan 'e oanfaller dy't spesifisearre is yn' e URL.
It probleem komt foar by it útfieren fan operaasjes lykas "git clone" en "git fetch", mar is it gefaarlikst by it ferwurkjen fan submodules - by it útfieren fan "git submodule update", wurde de URL's oantsjutte yn it .gitmodules-bestân fan it repository automatysk ferwurke. As in oplossing om it probleem te blokkearjen Brûk credential.helper net by tagong ta iepenbiere repositories en brûk gjin "git clone" yn "--recurse-submodules" modus mei net kontrolearre repositories.
Oanbean yn nije Git-releases foarkomt calling credential.helper foar URLs containing (bygelyks by it opjaan fan trije slashes ynstee fan twa - "http:///host" of sûnder in protokolskema - "http::ftp.example.com/"). It probleem hat ynfloed op de winkel (ynboude Git-bewiisopslach), cache (ynboude cache fan ynfierde referinsjes), en osxkeychain (macOS-opslach) handlers. De Git Credential Manager (Windows repository) handler wurdt net beynfloede.
Jo kinne de frijlitting fan pakketfernijings folgje yn distribúsjes op 'e siden , , , , , , , .
Boarne: opennet.ru