корективни изданија на системот за контрола на дистрибуирани извори Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 и 2.17.5, во која елиминираше (), потсетува , елиминирани минатата недела. Новата ранливост, исто така, влијае на управувачите на „credential.helper“ и се експлоатира кога се пренесува специјално форматирана URL-адреса која содржи знак за нова линија, празен хост или неодредена шема за барање. Кога обработува таков URL, credential.helper испраќа информации за ингеренциите што не се совпаѓаат со бараниот протокол или со домаќинот до кој се пристапува.
За разлика од претходниот проблем, при експлоатација на нова ранливост, напаѓачот не може директно да го контролира домаќинот од кој ќе бидат префрлени туѓи ингеренции. Кои акредитиви се протечени зависи од тоа како се постапува со параметарот „домаќин“ што недостасува во credential.helper. Сржта на проблемот е што празните полиња во URL-то се толкуваат од многу ракувачи со credential.helper како инструкции за примена на какви било акредитиви на тековното барање. Така, credential.helper може да испрати акредитиви зачувани за друг сервер до серверот на напаѓачот наведен во URL-то.
Проблемот се јавува при извршување на операции како што се „git clone“ и „git fetch“, но е најопасен кога се обработуваат подмодули - кога се врши „git submodule update“, URL-адресите наведени во датотеката .gitmodules од складиштето автоматски се обработуваат. Како решение за блокирање на проблемот Не користете credential.helper кога пристапувате до јавни складишта и не користете „git clone“ во режимот „--recurse-submodules“ со непроверени складишта.
Понуден во новите изданија на Git спречува повикување credential.helper за URL-адреси кои содржат (на пример, кога се одредуваат три коси црти наместо две - „http:///host“ или без шема на протокол - „http::ftp.example.com/“). Проблемот влијае на ракувачите на продавницата (вградено складирање на акредитиви Git), кешот (вграден кеш на внесени акредитиви) и ракувачите на osxkeychain (меморија на macOS). Ракувачот на Git Credential Manager (складиште на Windows) не е засегнат.
Можете да го следите објавувањето на ажурирањата на пакетите во дистрибуциите на страниците , , , , , , , .
Извор: opennet.ru