korekciniai paskirstyto šaltinio valdymo sistemos Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 ir 2.17.5, in kuris pašalino (), primena , pašalinta praėjusią savaitę. Naujasis pažeidžiamumas taip pat paveikia „credential.helper“ tvarkykles ir yra išnaudojamas perduodant specialiai suformatuotą URL, kuriame yra naujos eilutės simbolis, tuščia priegloba arba nenurodyta užklausų schema. Apdorojant tokį URL, credential.helper siunčia informaciją apie kredencialus, kurie neatitinka prašomo protokolo arba prieglobos, prie kurios yra pasiekiama.
Skirtingai nuo ankstesnės problemos, išnaudodamas naują pažeidžiamumą, užpuolikas negali tiesiogiai valdyti pagrindinio kompiuterio, iš kurio bus perduoti kažkieno kredencialai. Kokie kredencialai nutekėjo, priklauso nuo to, kaip credential.helper tvarkomas trūkstamas „host“ parametras. Problemos esmė ta, kad tuščius URL laukus daugelis credential.helper tvarkytojų interpretuoja kaip nurodymus taikyti bet kokius kredencialus dabartinei užklausai. Taigi credential.helper gali nusiųsti kitam serveriui saugomus kredencialus į užpuoliko serverį, nurodytą URL.
Problema kyla atliekant tokias operacijas kaip „git clone“ ir „git fetch“, tačiau pavojingiausia apdorojant submodulius – atliekant „git submodule update“ automatiškai apdorojami .gitmodules faile iš saugyklos nurodyti URL. Kaip problemos sprendimo būdas Nenaudokite credential.helper, kai pasiekiate viešąsias saugyklas ir nenaudokite „git clone“ režimu „--recurse-submodules“ su nepažymėtomis saugyklomis.
Siūloma naujuose „Git“ leidimuose neleidžia skambinti credential.helper URL, kuriuose yra (pvz., nurodant tris pasviruosius brūkšnius vietoj dviejų – „http:///host“ arba be protokolo schemos – „http::ftp.example.com/“). Problema paveikia parduotuvę (įtaisytąją Git kredencialų saugyklą), talpyklą (įvestų kredencialų įtaisytąją talpyklą) ir osxkeychain (macOS saugyklos) tvarkykles. „Git Credential Manager“ („Windows“ saugyklos) tvarkyklė neturi įtakos.
Puslapiuose esančiuose platinimuose galite stebėti paketų naujinimų išleidimą , , , , , , , .
Šaltinis: opennet.ru