popravne izdaje sistema za nadzor porazdeljenega vira Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 in 2.17.5, v ki je odpravilo (), ki spominja , odpravljen prejšnji teden. Nova ranljivost vpliva tudi na obdelovalce "credential.helper" in se izkorišča pri posredovanju posebej oblikovanega URL-ja, ki vsebuje znak za novo vrstico, praznega gostitelja ali nedoločeno shemo zahtev. Pri obdelavi takega URL-ja credential.helper pošlje informacije o poverilnicah, ki se ne ujemajo z zahtevanim protokolom ali gostiteljem, do katerega se dostopa.
Za razliko od prejšnje težave napadalec pri izkoriščanju nove ranljivosti ne more neposredno nadzorovati gostitelja, s katerega bodo prenesene poverilnice nekoga drugega. Katere poverilnice so ušle, je odvisno od tega, kako se manjkajoči parameter »gostitelj« obravnava v credential.helper. Bistvo težave je v tem, da prazna polja v URL-ju razlagajo številni obdelovalci credential.helper kot navodila za uporabo morebitnih poverilnic za trenutno zahtevo. Tako lahko credential.helper pošlje poverilnice, shranjene za drug strežnik, na napadalčev strežnik, naveden v URL-ju.
Težava se pojavi pri izvajanju operacij, kot sta "git clone" in "git fetch", najbolj nevarna pa je pri obdelavi podmodulov - pri izvajanju "git submodule update" se samodejno obdelajo URL-ji, podani v datoteki .gitmodules iz repozitorija. Kot rešitev za blokiranje težave Ne uporabljajte credential.helper pri dostopu do javnih skladišč in ne uporabljajte »git clone« v načinu »--recurse-submodules« z nepreverjenimi skladišči.
Na voljo v novih izdajah Git preprečuje klic credential.helper za URL-je, ki vsebujejo (na primer, ko navedete tri poševnice namesto dveh - “http:///host” ali brez sheme protokola - “http::ftp.example.com/”). Težava vpliva na shrambo (vgrajeni pomnilnik poverilnic Git), predpomnilnik (vgrajen predpomnilnik vnesenih poverilnic) in osxkeychain (shramba macOS). To ne vpliva na upravljalnik Git Credential Manager (repozitorij Windows).
Izdajo posodobitev paketov v distribucijah lahko spremljate na straneh , , , , , , , .
Vir: opennet.ru