分散ソース管理システム Git 2.26.2、2.25.4、2.24.3、2.23.3、2.22.4、2.21.3、2.20.4、2.19.5、2.18.4、および 2.17.5 の修正リリース排除したもの ()、懐かしい 、先週敗退しました。この新しい脆弱性は「credential.helper」ハンドラにも影響し、改行文字、空のホスト、または未指定のリクエスト スキームを含む特別にフォーマットされた URL を渡すときに悪用されます。このような URL を処理するとき、credential.helper は、要求されたプロトコルまたはアクセスされているホストに一致しない資格情報に関する情報を送信します。
前の問題とは異なり、新しい脆弱性を悪用する場合、攻撃者は他人の資格情報の転送元となるホストを直接制御できません。どのような認証情報が漏洩するかは、不足している「host」パラメータが credential.helper でどのように処理されるかによって異なります。問題の核心は、URL 内の空のフィールドが、多くの credential.helper ハンドラーによって、現在のリクエストに資格情報を適用するための指示として解釈されることです。したがって、credential.helper は、別のサーバー用に保存されている資格情報を、URL で指定された攻撃者のサーバーに送信できます。
この問題は、「git clone」や「git fetch」などの操作を実行するときに発生しますが、サブモジュールを処理するときに最も危険です。「git submodule update」を実行すると、リポジトリの .gitmodules ファイルで指定された URL が自動的に処理されます。問題をブロックするための回避策として パブリック リポジトリにアクセスする場合は credential.helper を使用しないでください。また、チェックされていないリポジトリでは「--recurse-submodules」モードで「git clone」を使用しないでください。
新しい Git リリースで提供される を含む URL に対して credential.helper を呼び出すことを防止します。 (たとえば、XNUMX つのスラッシュの代わりに XNUMX つのスラッシュを指定する場合 - 「http:///host」、またはプロトコル スキームなし - 「http::ftp.example.com/」)。この問題は、ストア (組み込みの Git 認証情報ストレージ)、キャッシュ (入力された認証情報の組み込みキャッシュ)、および osxkeychain (macOS ストレージ) ハンドラーに影響します。 Git Credential Manager (Windows リポジトリ) ハンドラーは影響を受けません。
ページ上のディストリビューションでパッケージ更新のリリースを追跡できます。 , , , , , , , .
出所: オープンネット.ru