分布式源代码控制系统 Git 2.26.2、2.25.4、2.24.3、2.23.3、2.22.4、2.21.3、2.20.4、2.19.5、2.18.4 和 2.17.5 的修正版本,位于这消除了 (),让人想起 ,上周被淘汰。 新漏洞还会影响“credential.helper”处理程序,并在传递包含换行符、空主机或未指定请求方案的特殊格式 URL 时被利用。 处理此类 URL 时,credential.helper 会发送有关与请求的协议或正在访问的主机不匹配的凭据的信息。
与之前的问题不同,当利用新漏洞时,攻击者无法直接控制从中传输其他人的凭据的主机。 泄露哪些凭据取决于 credential.helper 中如何处理缺少的“host”参数。 问题的核心是 URL 中的空字段被许多 credential.helper 处理程序解释为将任何凭据应用于当前请求的指令。 因此,credential.helper 可以将为另一台服务器存储的凭据发送到 URL 中指定的攻击者服务器。
该问题发生在执行“git clone”和“git fetch”等操作时,但在处理子模块时最为危险 - 当执行“git submodule update”时,会自动处理存储库中 .gitmodules 文件中指定的 URL。 作为阻止问题的解决方法 访问公共存储库时不要使用 credential.helper,并且不要在未经检查的存储库的“--recurse-submodules”模式下使用“git clone”。
在新的 Git 版本中提供 防止为包含以下内容的 URL 调用 credential.helper (例如,当指定三个斜杠而不是两个时 - “http:///host” 或没有协议方案 - “http::ftp.example.com/”)。 该问题影响存储(内置 Git 凭证存储)、缓存(输入凭证的内置缓存)和 osxkeychain(macOS 存储)处理程序。 Git Credential Manager(Windows 存储库)处理程序不受影响。
您可以在页面上跟踪发行版中软件包更新的发布情况 , , , , , , , .
来源: opennet.ru