degaje korektif nan sistèm kontwòl sous distribiye Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 ak 2.17.5, nan ki elimine (), okoumansman , elimine semèn pase a. Nouvo vilnerabilite a afekte moun k ap okipe "credential.helper" tou epi li eksplwate lè w ap pase yon URL ki gen fòma espesyal ki gen yon karaktè newline, yon lame vid oswa yon plan demann ki pa espesifye. Lè w ap trete yon URL konsa, credential.helper voye enfòmasyon sou kalifikasyon ki pa koresponn ak pwotokòl yo mande a oswa lame yo te jwenn aksè a.
Kontrèman ak pwoblèm anvan an, lè eksplwate yon nouvo vilnerabilite, atakè a pa ka kontwole dirèkteman lame a soti nan ki kalifikasyon yon lòt moun yo pral transfere. Ki kalifikasyon yo koule depann sou fason paramèt "lame" ki manke a okipe nan credential.helper. Nwayo pwoblèm nan se ke anpil moun kap okipe kredential.helper entèprete jaden vid nan URL la kòm enstriksyon pou aplike nenpòt kalifikasyon nan demann aktyèl la. Kidonk, credential.helper ka voye kalifikasyon ki estoke pou yon lòt sèvè nan sèvè atakè a ki espesifye nan URL la.
Pwoblèm nan rive lè w ap fè operasyon tankou "git clone" ak "git fetch", men li pi danjere lè w ap travay sou submodul - lè w ap fè "git submodule update", URL yo espesifye nan dosye .gitmodules ki soti nan depo a otomatikman trete. Kòm yon solisyon pou bloke pwoblèm nan Pa sèvi ak credential.helper lè w ap jwenn aksè nan depo piblik epi pa sèvi ak "git clone" nan mòd "--recurse-submodules" ak depo ki pa tcheke.
Ofri nan nouvo degaje Git anpeche rele credential.helper pou URL ki genyen (pa egzanp, lè w ap presize twa bar olye de de - "http:///host" oswa san yon konplo pwotokòl - "http::ftp.example.com/"). Pwoblèm nan afekte magazen an (depo kalifikasyon Git entegre), kachèt (kachèt entegre nan kalifikasyon yo antre), ak responsab osxkeychain (depo macOS). Manadjè Git Credential Manager (Windows depo) pa afekte.
Ou ka swiv lage mizajou pake yo nan distribisyon sou paj yo , , , , , , , .
Sous: opennet.ru