ProHoster > Օրագիր > ինտերնետ նորություններ > Git-ի թարմացում մեկ այլ խոցելիությամբ շտկված

Git-ի թարմացում մեկ այլ խոցելիությամբ շտկված

Հրապարակվել է բաշխված աղբյուրի կառավարման համակարգի ուղղիչ թողարկումներ Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 և 2.17.5, որը վերացրել է խոցելիություն (CVE-2020-11008- ը), հիշեցնում է խնդիրը, վերացվել է անցյալ շաբաթ։ Նոր խոցելիությունը ազդում է նաև «credential.helper» մշակողների վրա և շահագործվում է հատուկ ձևաչափված URL փոխանցելիս, որը պարունակում է նոր տող նիշ, դատարկ հոսթ կամ չճշտված հարցումների սխեման: Նման URL-ը մշակելիս credential.helper-ը տեղեկատվություն է ուղարկում հավատարմագրերի մասին, որոնք չեն համապատասխանում հայցվող արձանագրությանը կամ հոսթին, որին հասանելի է:

Ի տարբերություն նախորդ խնդրի, նոր խոցելիությունը շահագործելիս հարձակվողը չի կարող ուղղակիորեն վերահսկել հյուրընկալողը, որից կփոխանցվեն ուրիշի հավատարմագրերը։ Թե ինչ հավատարմագրեր են արտահոսում, կախված է նրանից, թե ինչպես է բացակայող «հյուրընկալող» պարամետրը մշակվում credential.helper-ում: Խնդրի էությունը կայանում է նրանում, որ URL-ի դատարկ դաշտերը մեկնաբանվում են բազմաթիվ credential.helper handlers-ի կողմից որպես հրահանգներ՝ ցանկացած հավատարմագրում ընթացիկ հարցումը կիրառելու համար: Այսպիսով, credential.helper-ը կարող է ուղարկել մեկ այլ սերվերի համար պահված հավատարմագրերը հարձակվողի սերվերին, որը նշված է URL-ում:

Խնդիրն առաջանում է այնպիսի գործողություններ կատարելիս, ինչպիսիք են «git clone» և «git fetch», բայց առավել վտանգավոր է ենթամոդուլների մշակման ժամանակ. «git submodule update»-ը կատարելիս պահեստից .gitmodules ֆայլում նշված URL-ները ավտոմատ կերպով մշակվում են: Որպես խնդրի արգելափակման լուծում առաջարկվում է Մի օգտագործեք credential.helper-ը հանրային պահեստներ մուտք գործելիս և մի օգտագործեք «git clone» «--recurse-submodules» ռեժիմում՝ չստուգված պահոցներով:

Առաջարկվում է Git-ի նոր թողարկումներում ուղղում կանխում է credential.helper-ի զանգը պարունակող URL-ների համար չներկայացվող արժեքներ (օրինակ, երկուսի փոխարեն երեք կտրվածք նշելիս՝ «http:///host» կամ առանց արձանագրության սխեմայի՝ «http::ftp.example.com/»): Խնդիրն ազդում է խանութի (ներկառուցված Git հավատարմագրերի պահեստի), քեշի (մուտքագրված հավատարմագրերի ներկառուցված քեշի) և osxkeychain (macOS պահեստավորման) կառավարիչների վրա: Git Credential Manager (Windows-ի պահոց) կարգավորիչը չի ազդում:

Դուք կարող եք հետևել փաթեթների թարմացումների թողարկմանը էջերի բաշխումներում Debian, Ubuntu, RHEL- ը, SUSE/openSUSE, Fedora, Կամար, ALT, FreeBSD- ը.

Source: opennet.ru

Добавить комментарий