opravné vydania distribuovaného systému riadenia zdroja Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 a 2.17.5, v ktorý eliminoval (), pripomínajúce , vyradený minulý týždeň. Nová zraniteľnosť ovplyvňuje aj obslužné programy „credential.helper“ a je zneužitá pri odovzdávaní špeciálne naformátovanej adresy URL obsahujúcej znak nového riadku, prázdny hostiteľ alebo nešpecifikovanú schému požiadaviek. Pri spracovaní takejto adresy URL odosiela credential.helper informácie o povereniach, ktoré nezodpovedajú požadovanému protokolu alebo hostiteľovi, ku ktorému sa pristupuje.
Na rozdiel od predchádzajúceho problému nemôže útočník pri zneužití novej zraniteľnosti priamo ovládať hostiteľa, z ktorého sa budú prenášať poverenia niekoho iného. Aké prihlasovacie údaje unikli, závisí od toho, ako sa s chýbajúcim parametrom „hostiteľ“ zaobchádza v súbore credential.helper. Jadrom problému je, že prázdne polia v adrese URL sú mnohými obslužnými programami credential.helper interpretované ako pokyny na použitie akýchkoľvek poverení na aktuálnu požiadavku. Credential.helper teda môže odoslať poverenia uložené pre iný server na server útočníka uvedený v adrese URL.
Problém nastáva pri vykonávaní operácií ako „git clone“ a „git fetch“, ale najnebezpečnejší je pri spracovávaní submodulov – pri vykonávaní „git submodule update“ sa automaticky spracujú adresy URL uvedené v súbore .gitmodules z úložiska. Ako riešenie na zablokovanie problému Pri prístupe k verejným repozitárom nepoužívajte credential.helper a nepoužívajte "git clone" v režime "--recurse-submodules" s nekontrolovanými repozitármi.
Ponúkané v nových vydaniach Git zabraňuje volaniu credential.helper pre adresy URL, ktoré obsahujú (napríklad pri špecifikovaní troch lomiek namiesto dvoch – „http:///hostiteľ“ alebo bez schémy protokolu – „http::ftp.example.com/“). Problém sa týka obslužných nástrojov obchodu (vstavané úložisko poverení Git), vyrovnávacej pamäte (zabudovaná vyrovnávacia pamäť zadaných poverení) a osxkeychain (úložisko macOS). Obslužný nástroj Git Credential Manager (úložisko Windows) nie je ovplyvnený.
Vydávanie aktualizácií balíkov v distribúciách môžete sledovať na stránkach , , , , , , , .
Zdroj: opennet.ru