lëshimet korrigjuese të sistemit të kontrollit të burimit të shpërndarë Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 dhe 2.17.5, në e cila eliminoi (), të kujton , eliminuar javën e kaluar. Dobësia e re prek gjithashtu mbajtësit "credential.helper" dhe shfrytëzohet kur kalon një URL të formatuar posaçërisht që përmban një karakter të linjës së re, një host bosh ose një skemë kërkese të paspecifikuar. Kur përpunon një URL të tillë, credential.helper dërgon informacion në lidhje me kredencialet që nuk përputhen me protokollin e kërkuar ose me hostin që aksesohet.
Ndryshe nga problemi i mëparshëm, kur shfrytëzon një cenueshmëri të re, sulmuesi nuk mund të kontrollojë drejtpërdrejt hostin nga i cili do të transferohen kredencialet e dikujt tjetër. Cilat kredenciale zbulohen varet nga mënyra se si trajtohet parametri "host" që mungon në kredencialet.helper. Thelbi i problemit është se fushat boshe në URL interpretohen nga shumë mbajtës të kredencialeve.helper si udhëzime për të aplikuar çdo kredencial në kërkesën aktuale. Kështu, credential.helper mund të dërgojë kredencialet e ruajtura për një server tjetër në serverin e sulmuesit të specifikuar në URL.
Problemi shfaqet kur kryeni operacione të tilla si "git clone" dhe "git fetch", por është më i rrezikshmi kur përpunohen nënmodulet - kur kryeni "git submodule update", URL-të e specifikuara në skedarin .gitmodules nga depoja përpunohen automatikisht. Si një zgjidhje për të bllokuar problemin Mos përdorni credential.helper kur hyni në depo publike dhe mos përdorni "git clone" në modalitetin "--recurse-submodules" me depo të pakontrolluara.
Ofrohet në versionet e reja të Git parandalon thirrjen credential.helper për URL-të që përmbajnë (për shembull, kur specifikoni tre prerje në vend të dy - "http:///host" ose pa një skemë protokolli - "http::ftp.example.com/"). Problemi prek mbajtësit e dyqanit (ruajtjen e integruar të kredencialeve Git), memorien e fshehtë (cache e integruar e kredencialeve të futura) dhe mbajtësit e osxkeychain (ruajtjen e macOS). Trajtuesi i Menaxherit të Kredencialeve Git (depoja e Windows) nuk ndikohet.
Ju mund të gjurmoni lëshimin e përditësimeve të paketave në shpërndarjet në faqe , , , , , , , .
Burimi: opennet.ru