korrigerende utgivelser av det distribuerte kildekontrollsystemet Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 og 2.17.5, i som eliminerte (), minner om , eliminert forrige uke. Den nye sårbarheten påvirker også "credential.helper"-behandlere og utnyttes når du sender en spesielt formatert URL som inneholder et linjeskifttegn, en tom vert eller et uspesifisert forespørselsskjema. Når du behandler en slik URL, sender credential.helper informasjon om legitimasjon som ikke samsvarer med den forespurte protokollen eller verten som du får tilgang til.
I motsetning til det forrige problemet, når angriperen utnytter en ny sårbarhet, kan ikke angriperen direkte kontrollere verten som andres legitimasjon skal overføres fra. Hvilken legitimasjon som lekkes avhenger av hvordan den manglende "host"-parameteren håndteres i credential.helper. Kjernen i problemet er at tomme felt i URL-en tolkes av mange credential.helper-behandlere som instruksjoner for å bruke eventuell legitimasjon på gjeldende forespørsel. Dermed kan credential.helper sende legitimasjon lagret for en annen server til angriperens server spesifisert i URL-en.
Problemet oppstår når du utfører operasjoner som "git clone" og "git fetch", men er mest farlig når du behandler undermoduler - når du utfører "git submodule update", blir URL-ene spesifisert i .gitmodules-filen fra depotet automatisk behandlet. Som en løsning for å blokkere problemet Ikke bruk credential.helper når du får tilgang til offentlige depoter og ikke bruk "git clone" i "--recurse-submodules"-modus med ukontrollerte repositories.
Tilbys i nye Git-utgivelser hindrer å ringe credential.helper for URL-er som inneholder (for eksempel når du spesifiserer tre skråstreker i stedet for to - "http:///host" eller uten et protokollskjema - "http::ftp.example.com/"). Problemet påvirker lagre (innebygd Git-legitimasjonslagring), cache (innebygd cache for oppgitt legitimasjon) og osxkeychain (macOS-lagring) behandlere. Git Credential Manager (Windows-repository)-behandleren påvirkes ikke.
Du kan spore utgivelsen av pakkeoppdateringer i distribusjoner på sidene , , , , , , , .
Kilde: opennet.ru