matoleo ya marekebisho ya mfumo wa udhibiti wa chanzo uliosambazwa Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 na 2.17.5, katika ambayo iliondoa (), kukumbusha , kuondolewa wiki iliyopita. Athari mpya pia huathiri vidhibiti vya "credential.helper" na hutumiwa vibaya wakati wa kupitisha URL iliyoumbizwa mahususi iliyo na herufi mpya, seva pangishi isiyo na kitu, au mpango wa ombi ambao haujabainishwa. Wakati wa kuchakata URL kama hiyo, credential.helper hutuma maelezo kuhusu vitambulisho ambavyo havilingani na itifaki iliyoombwa au seva pangishi inayofikiwa.
Tofauti na tatizo la awali, wakati wa kutumia athari mpya, mvamizi hawezi kudhibiti moja kwa moja mwenyeji ambapo vitambulisho vya mtu mwingine vitahamishwa. Je, ni vitambulisho vipi vinavyovuja hutegemea jinsi kigezo cha "mwenyeji" kinachokosekana kinashughulikiwa katika credential.helper. Kiini cha tatizo ni kwamba sehemu tupu katika URL zinafasiriwa na vidhibiti vingi vya credential.helper kama maagizo ya kutumia kitambulisho chochote kwa ombi la sasa. Kwa hivyo, credential.helper inaweza kutuma kitambulisho kilichohifadhiwa kwa seva nyingine kwa seva ya mvamizi iliyobainishwa kwenye URL.
Tatizo hutokea wakati wa kufanya shughuli kama vile "git clone" na "git fetch", lakini ni hatari zaidi wakati wa kuchakata moduli ndogo - wakati wa kufanya "sasisho la moduli ndogo ya git", URL zilizobainishwa katika faili ya .gitmodules kutoka kwenye hazina huchakatwa kiotomatiki. Kama suluhisho la kuzuia shida Usitumie credential.helper unapofikia hazina za umma na usitumie "git clone" katika hali ya "--recurse-submodules" yenye hazina ambazo hazijachaguliwa.
Imetolewa katika matoleo mapya ya Git huzuia kupiga simu credential.helper kwa URL zilizo na (kwa mfano, wakati wa kubainisha mikwaruzo mitatu badala ya miwili - "http:///host" au bila mpango wa itifaki - "http::ftp.example.com/"). Suala hili linaathiri duka la washughulikiaji (hifadhi ya hati miliki iliyojengewa ndani ya Git), kashe (kashe iliyojengewa ndani ya hati miliki zilizoingizwa) na osxkeychain (hifadhi ya macOSKidhibiti cha Kidhibiti cha Git (hifadhi ya Windows) haiathiriwi na udhaifu.
Unaweza kufuatilia utolewaji wa masasisho ya kifurushi katika usambazaji kwenye kurasa , , , , , , , .
Chanzo: opennet.ru
