rilis korektif saka sistem kontrol sumber sing disebarake Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 lan 2.17.5, ing kang ngilangi (), ngelingi , ngilangi minggu kepungkur. Kerentanan anyar uga mengaruhi panangan "credential.helper" lan dieksploitasi nalika ngirim URL format khusus sing ngemot karakter baris anyar, host kosong, utawa skema panyuwunan sing ora ditemtokake. Nalika ngolah URL kasebut, credential.helper ngirim informasi babagan kredensial sing ora cocog karo protokol sing dijaluk utawa host sing diakses.
Ora kaya masalah sadurunge, nalika ngeksploitasi kerentanan anyar, panyerang ora bisa langsung ngontrol host saka ngendi kredensial wong liya bakal ditransfer. Apa kredensial sing bocor gumantung carane parameter "host" sing ilang ditangani ing credential.helper. Inti masalah yaiku kolom kosong ing URL diinterpretasikake dening akeh pawang credential.helper minangka instruksi kanggo ngetrapake kredensial apa wae kanggo panyuwunan saiki. Dadi, credential.helper bisa ngirim kredensial sing disimpen kanggo server liyane menyang server penyerang sing ditemtokake ing URL kasebut.
Masalah kasebut dumadi nalika nindakake operasi kayata "git clone" lan "git fetch", nanging paling mbebayani nalika ngolah submodul - nalika nindakake "update submodule git", URL sing ditemtokake ing file .gitmodules saka gudang diproses kanthi otomatis. Minangka workaround kanggo mblokir masalah Aja nggunakake credential.helper nalika ngakses repositori umum lan aja nggunakake "git clone" ing mode "--recurse-submodules" kanthi repositori sing ora dicenthang.
Ditawakake ing rilis Git anyar ngalangi nelpon credential.helper kanggo URL sing ngemot (contone, nalika nemtokake telung garis miring tinimbang loro - "http:///host" utawa tanpa skema protokol - "http::ftp.example.com/"). Masalah kasebut mengaruhi toko (panyimpenan kredensial Git sing dibangun ing), cache (cache internal saka kredensial sing dilebokake), lan panangan osxkeychain (simpenan macOS). Pangurus Git Credential Manager (repositori Windows) ora kena pengaruh.
Sampeyan bisa nglacak rilis nganyari paket ing distribusi ing kaca , , , , , , , .
Source: opennet.ru