versioni correttive del sistema di controllo del codice sorgente distribuito Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 e 2.17.5, in che ha eliminato (), ricorda , eliminato la settimana scorsa. La nuova vulnerabilità colpisce anche i gestori "credential.helper" e viene sfruttata quando si passa un URL appositamente formattato contenente un carattere di nuova riga, un host vuoto o uno schema di richiesta non specificato. Durante l'elaborazione di un URL di questo tipo, credential.helper invia informazioni sulle credenziali che non corrispondono al protocollo richiesto o all'host a cui si accede.
A differenza del problema precedente, quando si sfrutta una nuova vulnerabilità, l'aggressore non può controllare direttamente l'host da cui verranno trasferite le credenziali di qualcun altro. Le credenziali trapelate dipendono da come viene gestito il parametro "host" mancante in credential.helper. Il nocciolo del problema è che i campi vuoti nell'URL vengono interpretati da molti gestori credential.helper come istruzioni per applicare qualsiasi credenziale alla richiesta corrente. Pertanto, credential.helper può inviare le credenziali archiviate per un altro server al server dell’aggressore specificato nell’URL.
Il problema si verifica quando si eseguono operazioni come "git clone" e "git fetch", ma è particolarmente pericoloso durante l'elaborazione dei sottomoduli: quando si esegue "git submodule update", gli URL specificati nel file .gitmodules dal repository vengono elaborati automaticamente. Come soluzione alternativa per bloccare il problema Non utilizzare credential.helper quando si accede ai repository pubblici e non utilizzare "git clone" in modalità "--recurse-submodules" con repository non controllati.
Offerto nelle nuove versioni di Git impedisce la chiamata di credential.helper per gli URL contenenti (ad esempio, quando si specificano tre barre invece di due - "http:///host" o senza uno schema di protocollo - "http::ftp.example.com/"). Il problema riguarda i gestori store (archiviazione delle credenziali Git integrata), cache (cache integrata delle credenziali immesse) e osxkeychain (archiviazione macOS). Il gestore Git Credential Manager (repository Windows) non è interessato.
Puoi tenere traccia del rilascio degli aggiornamenti dei pacchetti nelle distribuzioni nelle pagine , , , , , , , .
Fonte: opennet.ru