corrigerende releases van het gedistribueerde broncontrolesysteem Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 en 2.17.5, in wat geëlimineerd (), herinnert , vorige week uitgeschakeld. De nieuwe kwetsbaarheid treft ook "credential.helper"-handlers en wordt misbruikt bij het doorgeven van een speciaal opgemaakte URL die een newline-teken, een lege host of een niet-gespecificeerd verzoekschema bevat. Bij het verwerken van een dergelijke URL verzendt credential.helper informatie over inloggegevens die niet overeenkomen met het aangevraagde protocol of de host waartoe toegang wordt verkregen.
In tegenstelling tot het vorige probleem kan de aanvaller bij het misbruiken van een nieuwe kwetsbaarheid niet rechtstreeks controle uitoefenen over de host waarvandaan de inloggegevens van iemand anders worden overgedragen. Welke inloggegevens er gelekt zijn, hangt af van hoe de ontbrekende “host”-parameter wordt afgehandeld in credential.helper. De kern van het probleem is dat lege velden in de URL door veel credential.helper-handlers worden geïnterpreteerd als instructies om eventuele inloggegevens op het huidige verzoek toe te passen. Credential.helper kan dus de inloggegevens die voor een andere server zijn opgeslagen, naar de server van de aanvaller sturen die in de URL is opgegeven.
Het probleem doet zich voor bij het uitvoeren van bewerkingen zoals "git clone" en "git fetch", maar is het gevaarlijkst bij het verwerken van submodules - bij het uitvoeren van "git submodule update" worden de URL's gespecificeerd in het .gitmodules bestand uit de repository automatisch verwerkt. Als oplossing om het probleem te blokkeren Gebruik credential.helper niet bij het benaderen van openbare repository's en gebruik "git clone" niet in "--recurse-submodules" modus met niet-aangevinkte repository's.
Aangeboden in nieuwe Git-releases verhindert het aanroepen van credential.helper voor URL's die (bijvoorbeeld als u drie schuine strepen opgeeft in plaats van twee - "http:///host" of zonder protocolschema - "http::ftp.example.com/"). Het probleem heeft betrekking op de store (ingebouwde opslag van Git-referenties), cache (ingebouwde cache van ingevoerde inloggegevens) en osxkeychain (macOS-opslag) handlers. De handler Git Credential Manager (Windows-repository) wordt niet beïnvloed.
U kunt de release van pakketupdates in distributies op de pagina's volgen , , , , , , , .
Bron: opennet.ru