keluaran pembetulan sistem kawalan sumber teragih Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 dan 2.17.5, dalam yang dihapuskan (), mengingatkan , tersingkir minggu lepas. Kerentanan baharu juga mempengaruhi pengendali "credential.helper" dan dieksploitasi apabila menghantar URL yang diformat khas yang mengandungi aksara baris baharu, hos kosong atau skim permintaan yang tidak ditentukan. Semasa memproses URL sedemikian, credential.helper menghantar maklumat tentang bukti kelayakan yang tidak sepadan dengan protokol yang diminta atau hos yang sedang diakses.
Berbeza dengan masalah sebelumnya, apabila mengeksploitasi kelemahan baharu, penyerang tidak boleh mengawal terus hos dari mana bukti kelayakan orang lain akan dipindahkan. Bukti kelayakan yang dibocorkan bergantung pada cara parameter "hos" yang hilang dikendalikan dalam credential.helper. Inti masalahnya ialah medan kosong dalam URL ditafsirkan oleh banyak pengendali credential.helper sebagai arahan untuk menggunakan sebarang bukti kelayakan pada permintaan semasa. Oleh itu, credential.helper boleh menghantar bukti kelayakan yang disimpan untuk pelayan lain ke pelayan penyerang yang dinyatakan dalam URL.
Masalah berlaku apabila menjalankan operasi seperti "git clone" dan "git fetch", tetapi paling berbahaya apabila memproses submodul - apabila melakukan "git submodule kemas kini", URL yang dinyatakan dalam fail .gitmodules daripada repositori diproses secara automatik. Sebagai penyelesaian untuk menyekat masalah Jangan gunakan credential.helper apabila mengakses repositori awam dan jangan gunakan "git clone" dalam mod "--recurse-submodules" dengan repositori yang tidak ditandakan.
Ditawarkan dalam keluaran Git baharu menghalang panggilan credential.helper untuk URL yang mengandungi (contohnya, apabila menentukan tiga garis miring dan bukannya dua - "http:///host" atau tanpa skema protokol - "http::ftp.example.com/"). Isu ini menjejaskan kedai (storan kelayakan Git terbina dalam), cache (cache terbina dalam bukti kelayakan yang dimasukkan) dan pengendali osxkeychain (storan macOS). Pengendali Pengurus Kredensial Git (repositori Windows) tidak terjejas.
Anda boleh menjejaki keluaran kemas kini pakej dalam pengedaran pada halaman , , , , , , , .
Sumber: opennet.ru