коректуючі випуски розподіленої системи управління вихідними текстами Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 та 2.17.5. усунена (), що нагадує , усунуті минулого тижня. Нова вразливість також стосується обробників «credential.helper» і експлуатується при передачі спеціально оформленого URL, що містить символ нового рядка, порожній хост або не вказану схему запиту. При обробці такого URL credential.helper надсилає інформацію про облікові дані, що не відповідають запитаному протоколу або хосту, до якого здійснюється звернення.
На відміну від минулої проблеми при експлуатації нової вразливості, атакуючий не може безпосередньо контролювати хост, від якого будуть передані чужі облікові дані. Те, які облікові дані втечуть, залежить від особливостей обробки відсутнього параметра «host» в credential.helper. Суть проблеми в тому, що порожні поля в URL інтерпретуються багатьма обробниками credential.helper як інструкції до поточного звернення будь-яких облікових даних. Таким чином, credential.helper може надіслати на вказаний в URL сервер атакуючого облікові дані, збережені для іншого сервера.
Проблема проявляється при виконанні таких операцій, як git clone і git fetch, але найбільш небезпечна при обробці субмодулів — при git submodule update автоматично обробляються URL, задані у файлі .gitmodules з репозиторію. Як обхідний шлях блокування проблеми не використовувати credential.helper при зверненні до публічних репозиторій і не застосовувати git clone в режимі recurse-submodules з неперевіреними репозиторіями.
Запропоноване у нових випусках Git забороняє виклик credential.helper для URL, які містять (наприклад, при вказівці трьох слеш замість двох - "http:///host" або без схеми протоколу - "http::ftp.example.com/"). Проблема стосується обробників store (вбудоване сховище облікових даних Git), cache (вбудований кеш введених облікових даних) та osxkeychain (сховище для macOS). Обробник Git Credential Manager (сховище для Windows) не піддається вразливості.
Простежити за випуском оновлень пакетів у дистрибутивах можна на сторінках , , , , , , , .
Джерело: opennet.ru