ispravna izdanja sustava za kontrolu distribuiranog izvora Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 i 2.17.5, u koji je eliminirao (), podsjećajući , eliminiran prošli tjedan. Nova ranjivost također utječe na rukovatelje "credential.helper" i iskorištava se prilikom prosljeđivanja posebno oblikovanog URL-a koji sadrži znak za novi red, prazan host ili neodređenu shemu zahtjeva. Prilikom obrade takvog URL-a, credential.helper šalje informacije o vjerodajnicama koje ne odgovaraju traženom protokolu ili hostu kojem se pristupa.
Za razliku od prethodnog problema, prilikom iskorištavanja nove ranjivosti, napadač ne može izravno kontrolirati host s kojeg će se prenijeti tuđe vjerodajnice. Koje će vjerodajnice procuriti ovisi o tome kako se postupa s nedostajućim parametrom "host" u credential.helper. Srž problema je u tome što mnogi rukovatelji credential.helper prazna polja u URL-u tumače kao upute za primjenu vjerodajnica na trenutni zahtjev. Stoga credential.helper može poslati vjerodajnice pohranjene za drugi poslužitelj napadačevom poslužitelju navedenom u URL-u.
Problem se javlja prilikom izvođenja operacija kao što su "git clone" i "git fetch", ali je najopasniji kada se obrađuju podmoduli - kada se izvodi "git submodule update", automatski se obrađuju URL-ovi navedeni u datoteci .gitmodules iz repozitorija. Kao zaobilazno rješenje za blokiranje problema Nemojte koristiti credential.helper kada pristupate javnim spremištima i nemojte koristiti "git clone" u načinu "--recurse-submodules" s neprovjerenim spremištima.
Ponuđeno u novim Git izdanjima sprječava pozivanje credential.helper za URL-ove koji sadrže (na primjer, kada navedete tri kose crte umjesto dvije - “http:///host” ili bez sheme protokola - “http::ftp.example.com/”). Problem utječe na rukovatelje pohranom (ugrađena pohrana Git vjerodajnica), predmemoriju (ugrađena predmemorija unesenih vjerodajnica) i osxkeychain (macOS pohrana). Rukovatelj Git Credential Manager (Windows repozitorij) nije zahvaćen.
Možete pratiti izdavanje ažuriranja paketa u distribucijama na stranicama , , , , , , , .
Izvor: opennet.ru