korrigerande utgåvor av det distribuerade källkontrollsystemet Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 och 2.17.5, i som eliminerade (), påminner om , eliminerad förra veckan. Den nya sårbarheten påverkar också "credential.helper"-hanterare och utnyttjas när man skickar en speciellt formaterad URL som innehåller ett nyradstecken, en tom värd eller ett ospecificerat begäranschema. Vid bearbetning av en sådan URL skickar credential.helper information om autentiseringsuppgifter som inte stämmer överens med det begärda protokollet eller den värd som används.
Till skillnad från det tidigare problemet, när en ny sårbarhet utnyttjas, kan angriparen inte direkt kontrollera värden från vilken någon annans referenser kommer att överföras. Vilka referenser som läcker beror på hur den saknade "värd"-parametern hanteras i credential.helper. Kärnan i problemet är att tomma fält i URL:en tolkas av många credential.helper-hanterare som instruktioner för att tillämpa eventuella referenser på den aktuella begäran. Således kan credential.helper skicka inloggningsuppgifter lagrade för en annan server till angriparens server som anges i URL:en.
Problemet uppstår när man utför operationer som "git clone" och "git fetch", men är farligast när man bearbetar undermoduler - när man utför "git submodule update" bearbetas URL:erna som anges i .gitmodules-filen från förvaret automatiskt. Som en lösning för att blockera problemet Använd inte credential.helper när du kommer åt offentliga arkiv och använd inte "git clone" i läget "--recurse-submodules" med omarkerade arkiv.
Erbjuds i nya Git-utgåvor förhindrar anrop av credential.helper för webbadresser som innehåller (till exempel när du anger tre snedstreck istället för två - "http:///host" eller utan ett protokollschema - "http::ftp.example.com/"). Problemet påverkar lagra (inbyggd Git-referenslagring), cache (inbyggd cache för angivna referenser) och osxkeychain (macOS-lagring) hanterare. Hanteraren för Git Credential Manager (Windows repository) påverkas inte.
Du kan spåra utgivningen av paketuppdateringar i distributioner på sidorna , , , , , , , .
Källa: opennet.ru