Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 va 2.17.5 taqsimlangan manbalarni boshqarish tizimining tuzatuvchi versiyalari qaysi yo'q qildi (), eslatadi , o'tgan hafta bartaraf etildi. Yangi zaiflik "credential.helper" ishlov beruvchilariga ham ta'sir qiladi va yangi qator belgisi, bo'sh xost yoki noaniq so'rov sxemasini o'z ichiga olgan maxsus formatlangan URL manzilini uzatishda foydalaniladi. Bunday URLni qayta ishlashda credential.helper so'ralgan protokolga yoki kirilayotgan xostga mos kelmaydigan hisob ma'lumotlari haqida ma'lumot yuboradi.
Oldingi muammodan farqli o'laroq, yangi zaiflikdan foydalanganda, tajovuzkor boshqa birovning hisob ma'lumotlari uzatiladigan xostni bevosita boshqara olmaydi. Qaysi hisob ma’lumotlari sizib chiqishi credential.helper’da etishmayotgan “xost” parametri qanday ishlanishiga bog‘liq. Muammoning mohiyati shundaki, URL-dagi bo'sh maydonlar ko'plab credential.helper ishlov beruvchilari tomonidan joriy so'rovga har qanday hisob ma'lumotlarini qo'llash bo'yicha ko'rsatmalar sifatida talqin qilinadi. Shunday qilib, credential.helper boshqa server uchun saqlangan hisob ma'lumotlarini URL manzilida ko'rsatilgan tajovuzkor serveriga yuborishi mumkin.
Muammo "git clone" va "git fetch" kabi operatsiyalarni bajarishda yuzaga keladi, lekin pastki modullarni qayta ishlashda eng xavfli hisoblanadi - "git submodule update" ni amalga oshirishda, ombordan .gitmodules faylida ko'rsatilgan URL-manzillar avtomatik ravishda qayta ishlanadi. Muammoni blokirovka qilish uchun vaqtinchalik yechim sifatida Umumiy omborlarga kirishda credential.helper dan foydalanmang va tekshirilmagan omborlar bilan "--recurse-submodules" rejimida "git clone" dan foydalanmang.
Yangi Git relizlarida taqdim etiladi o'z ichiga olgan URL manzillar uchun credential.helper chaqiruvini oldini oladi (masalan, ikkita o'rniga uchta slash belgisini ko'rsatishda - “http:///host” yoki protokol sxemasisiz - “http::ftp.example.com/”). Muammo doʻkon (oʻrnatilgan Git hisob maʼlumotlari xotirasi), kesh (kiritilgan hisob maʼlumotlarining oʻrnatilgan keshi) va osxkeychain (macOS xotirasi) ishlov beruvchilariga taʼsir qiladi. Git Credential Manager (Windows repository) ishlov beruvchisi ta'sir qilmaydi.
Siz sahifalardagi tarqatishlarda paket yangilanishlarining chiqarilishini kuzatishingiz mumkin , , , , , , , .
Manba: opennet.ru