การแก้ไขระบบควบคุมแหล่งที่มาแบบกระจาย Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 และ 2.17.5 ใน ซึ่งกำจัดออกไป () ชวนให้นึกถึง , ตกรอบเมื่อสัปดาห์ที่แล้ว ช่องโหว่ใหม่ยังส่งผลต่อตัวจัดการ "credential.helper" และถูกโจมตีเมื่อส่ง URL ที่จัดรูปแบบพิเศษซึ่งมีอักขระขึ้นบรรทัดใหม่ โฮสต์ว่าง หรือรูปแบบคำขอที่ไม่ได้ระบุ เมื่อประมวลผล URL ดังกล่าว credential.helper จะส่งข้อมูลเกี่ยวกับข้อมูลประจำตัวที่ไม่ตรงกับโปรโตคอลที่ร้องขอหรือโฮสต์ที่กำลังเข้าถึง
ไม่เหมือนกับปัญหาก่อนหน้านี้ เมื่อใช้ประโยชน์จากช่องโหว่ใหม่ ผู้โจมตีไม่สามารถควบคุมโฮสต์ที่จะถ่ายโอนข้อมูลประจำตัวของผู้อื่นได้โดยตรง ข้อมูลรับรองใดที่รั่วไหลขึ้นอยู่กับวิธีจัดการพารามิเตอร์ “host” ที่หายไปใน credential.helper แก่นของปัญหาคือฟิลด์ว่างใน URL ถูกตีความโดยตัวจัดการ credential.helper จำนวนมาก ว่าเป็นคำแนะนำในการใช้ข้อมูลรับรองกับคำขอปัจจุบัน ดังนั้น credential.helper จึงสามารถส่งข้อมูลรับรองที่เก็บไว้สำหรับเซิร์ฟเวอร์อื่นไปยังเซิร์ฟเวอร์ของผู้โจมตีที่ระบุใน URL
ปัญหาเกิดขึ้นเมื่อดำเนินการเช่น "git clone" และ "git fetch" แต่เป็นสิ่งที่อันตรายที่สุดเมื่อประมวลผลโมดูลย่อย - เมื่อดำเนินการ "อัปเดตโมดูลย่อย git" URL ที่ระบุในไฟล์ .gitmodules จากพื้นที่เก็บข้อมูลจะถูกประมวลผลโดยอัตโนมัติ เพื่อเป็นแนวทางแก้ไขปัญหา อย่าใช้ credential.helper เมื่อเข้าถึงที่เก็บข้อมูลสาธารณะ และอย่าใช้ "git clone" ในโหมด "--recurse-submodules" กับที่เก็บข้อมูลที่ไม่ได้ตรวจสอบ
นำเสนอใน Git รุ่นใหม่ ป้องกันการเรียก credential.helper สำหรับ URL ที่มี (ตัวอย่างเช่น เมื่อระบุเครื่องหมายทับสามอันแทนที่จะเป็นสอง - “http:///host” หรือไม่มีรูปแบบโปรโตคอล - “http::ftp.example.com/”) ปัญหานี้ส่งผลกระทบต่อร้านค้า (ที่เก็บข้อมูลรับรอง Git ในตัว) แคช (แคชในตัวของข้อมูลประจำตัวที่ป้อน) และตัวจัดการ osxkeychain (ที่เก็บข้อมูล macOS) ตัวจัดการ Git Credential Manager (พื้นที่เก็บข้อมูล Windows) จะไม่ได้รับผลกระทบ
คุณสามารถติดตามการเปิดตัวการอัปเดตแพ็คเกจในการแจกจ่ายบนเพจ , , , , , , , .
ที่มา: opennet.ru