leiðréttingarútgáfur á dreifða upprunastýringarkerfinu Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 og 2.17.5, í sem útrýmdi (), minnir á , felldur í síðustu viku. Nýi varnarleysið hefur einnig áhrif á „credential.helper“ meðhöndlun og er nýtt þegar sérsniðin vefslóð er send sem inniheldur nýlínustaf, tóman hýsil eða ótilgreint beiðnikerfi. Þegar unnið er með slíka vefslóð sendir credential.helper upplýsingar um skilríki sem passa ekki við umbeðna samskiptareglu eða hýsilinn sem verið er að nálgast.
Ólíkt fyrra vandamálinu, þegar nýtt varnarleysi er nýtt, getur árásarmaðurinn ekki beint stjórnað hýsilnum sem skilríki einhvers annars verða flutt frá. Hvaða skilríkjum er lekið fer eftir því hvernig farið er með breytuna sem vantar „host“ í credential.helper. Kjarni vandans er að tómir reitir í vefslóðinni eru túlkaðir af mörgum credential.helper meðhöndlum sem leiðbeiningar um að nota hvaða skilríki sem er á núverandi beiðni. Þannig getur credential.helper sent skilríki sem eru geymd fyrir annan netþjón á netþjón árásarmannsins sem tilgreindur er í vefslóðinni.
Vandamálið kemur upp þegar framkvæmdar eru aðgerðir eins og „git clone“ og „git fetch“, en er hættulegastur þegar unnið er með undireiningar - þegar „git submodule update“ er framkvæmt, eru vefslóðirnar sem tilgreindar eru í .gitmodules skránni úr geymslunni sjálfkrafa unnar. Sem lausn til að koma í veg fyrir vandamálið Ekki nota credential.helper þegar þú opnar opinberar geymslur og ekki nota "git clone" í "--recurse-submodules" ham með ómerktum geymslum.
Boðið upp á nýjar Git útgáfur kemur í veg fyrir að hringt sé í credential.helper fyrir vefslóðir sem innihalda (til dæmis þegar tilgreind eru þrjú skástrik í stað tveggja - "http:///host" eða án samskiptareglur - "http::ftp.example.com/"). Vandamálið hefur áhrif á verslunina (innbyggt Git skilríkisgeymsla), skyndiminni (innbyggt skyndiminni fyrir innslögð skilríki) og osxkeychain (macOS geymsla) meðhöndlara. Það hefur ekki áhrif á Git Credential Manager (Windows repository) meðhöndlunina.
Þú getur fylgst með útgáfu pakkauppfærslna í dreifingum á síðunum , , , , , , , .
Heimild: opennet.ru