rilis korektif dari sistem kontrol sumber terdistribusi Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 dan 2.17.5, di yang dihilangkan (), mengingatkan , tersingkir minggu lalu. Kerentanan baru ini juga memengaruhi penangan "credential.helper" dan dieksploitasi ketika meneruskan URL berformat khusus yang berisi karakter baris baru, host kosong, atau skema permintaan yang tidak ditentukan. Saat memproses URL tersebut, credential.helper mengirimkan informasi tentang kredensial yang tidak cocok dengan protokol yang diminta atau host yang sedang diakses.
Berbeda dengan masalah sebelumnya, ketika mengeksploitasi kerentanan baru, penyerang tidak dapat secara langsung mengontrol host tempat kredensial orang lain akan ditransfer. Kredensial apa yang bocor bergantung pada cara parameter βhostβ yang hilang ditangani di credential.helper. Inti masalahnya adalah bidang kosong di URL ditafsirkan oleh banyak penangan credential.helper sebagai instruksi untuk menerapkan kredensial apa pun ke permintaan saat ini. Dengan demikian, credential.helper dapat mengirimkan kredensial yang disimpan untuk server lain ke server penyerang yang ditentukan dalam URL.
Masalah terjadi saat melakukan operasi seperti "git clone" dan "git ambil", tetapi paling berbahaya saat memproses submodul - saat melakukan "pembaruan submodul git", URL yang ditentukan dalam file .gitmodules dari repositori diproses secara otomatis. Sebagai solusi untuk memblokir masalah tersebut Jangan gunakan credential.helper saat mengakses repositori publik dan jangan gunakan "git clone" dalam mode "--recurse-submodules" dengan repositori yang tidak dicentang.
Ditawarkan dalam rilis Git baru mencegah pemanggilan credential.helper untuk URL yang berisi (misalnya, saat menentukan tiga garis miring, bukan dua - βhttp:///hostβ atau tanpa skema protokol - βhttp::ftp.example.com/β). Masalah ini memengaruhi penyimpanan (penyimpanan kredensial Git bawaan), cache (cache bawaan dari kredensial yang dimasukkan), dan penangan osxkeychain (penyimpanan macOS). Pengendali Git Credential Manager (repositori Windows) tidak terpengaruh.
Anda dapat melacak rilis pembaruan paket dalam distribusi di halaman , , , , , , , .
Sumber: opennet.ru