Az elosztott forrásvezérlő rendszer Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 és 2.17.5 korrekciós kiadásai amely megszüntette (), emlékeztet , a múlt héten megszűnt. Az új biztonsági rés a "credential.helper" kezelőket is érinti, és újsor karaktert, üres gazdagépet vagy meghatározatlan kérési sémát tartalmazó, speciálisan formázott URL átadásakor használják ki. Egy ilyen URL feldolgozásakor a credential.helper információkat küld azokról a hitelesítési adatokról, amelyek nem egyeznek a kért protokollal vagy az éppen elért gazdagéppel.
Az előző problémával ellentétben egy új biztonsági rést kihasználva a támadó nem tudja közvetlenül irányítani azt a gazdagépet, amelyről valaki más hitelesítő adatait továbbítják. A kiszivárgott hitelesítő adatok attól függnek, hogy a hiányzó „host” paramétert hogyan kezeli a credential.helper. A probléma lényege az, hogy az URL üres mezőit sok credential.helper kezelő úgy értelmezi, mint a hitelesítő adatok alkalmazására vonatkozó utasításokat az aktuális kérésre. Így a credential.helper elküldheti egy másik szerverhez tárolt hitelesítő adatokat a támadó URL-ben megadott szerverére.
A probléma olyan műveletek végrehajtásakor jelentkezik, mint a "git klón" és a "git fetch", de a legveszélyesebb az almodulok feldolgozása során - a "git submodule update" végrehajtásakor a tárolóból a .gitmodules fájlban megadott URL-ek automatikusan feldolgozásra kerülnek. Megkerülő megoldásként a probléma blokkolására Ne használja a credential.helper fájlt nyilvános lerakatokhoz való hozzáféréskor, és ne használja a „git clone”-t „--recurse-submodules” módban ellenőrizetlen tárolókkal.
Az új Git-kiadásokban kínálják megakadályozza a credential.helper meghívását olyan URL-ek esetén, amelyek tartalmazzák (például ha három perjelet ad meg kettő helyett – „http:///host” vagy protokollséma nélkül – „http::ftp.example.com/”). A probléma az áruházat (beépített Git hitelesítőadat-tároló), a gyorsítótárat (a bevitt hitelesítő adatok beépített gyorsítótárát) és az osxkeychain (macOS-tárhely) kezelőket érinti. A Git Credential Manager (Windows repository) kezelője nincs hatással.
Az oldalakon nyomon követheti a csomagfrissítések megjelenését a disztribúciókban , , , , , , , .
Forrás: opennet.ru