Korrekturverëffentlechunge vum verdeelte Quellekontrollsystem Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 an 2.17.5, an déi eliminéiert (), erënnert , lescht Woch eliminéiert. Déi nei Schwachstelle beaflosst och "credential.helper" Handler a gëtt ausgenotzt wann Dir eng speziell formatéiert URL passéiert mat engem Newline Charakter, en eidele Host oder en onspezifizéierten Ufroschema. Wann Dir sou eng URL veraarbecht, schéckt credential.helper Informatioun iwwer Umeldungsinformatiounen déi net mam ugefrote Protokoll oder dem Host deen zougitt entspriechen.
Am Géigesaz zum fréiere Problem, wann Dir eng nei Schwachstelle exploitéiert, kann den Ugräifer den Host net direkt kontrolléieren, aus deem d'Umeldungsinformatioune vun engem aneren iwwerdroe ginn. Wéi eng Umeldungsinformatioune geleet ginn hänkt dovun of wéi de fehlenden "Host" Parameter am credential.helper gehandhabt gëtt. De Kär vum Problem ass datt eidel Felder an der URL vu villen credential.helper Handler interpretéiert ginn als Instruktioune fir all Umeldungsinformatiounen op déi aktuell Ufro ze gëllen. Sou kann credential.helper Umeldungsinformatiounen schécken, déi fir en anere Server gespäichert sinn, op den Server vum Ugräifer an der URL spezifizéiert.
De Problem geschitt wann Dir Operatiounen wéi "git clone" an "git fetch" ausféiert, awer ass am meeschte geféierlech beim Veraarbechtung vun Submodulen - wann Dir "git submodule update" ausféiert, ginn d'URLen, déi an der .gitmodules Datei aus dem Repository spezifizéiert sinn, automatesch veraarbecht. Als Léisung fir de Problem ze blockéieren Benotzt net credential.helper wann Dir Zougang zu ëffentleche Repositories a benotzt net "git clone" am "--recurse-submodules" Modus mat onkontrolléierte Repositories.
An neie Git Verëffentlechungen ugebueden verhënnert ruffen credential.helper fir URLen enthalen (zum Beispill, wann Dir dräi Slashes anstatt zwee spezifizéiert - "http:///host" oder ouni Protokollschema - "http::ftp.example.com/"). D'Thema beaflosst de Store (built-in Git Credential Storage), Cache (built-in Cache vun aginnen Umeldungsinformatiounen), an osxkeychain (macOS Storage) Handler. De Git Credential Manager (Windows Repository) Handler ass net beaflosst.
Dir kënnt d'Verëffentlechung vu Packageupdates an Distributiounen op de Säiten verfollegen , , , , , , , .
Source: opennet.ru