The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Обновление Git с устранением ещё одной уязвимости

20.04.2020 22:41

Опубликованы корректирующие выпуски распределённой системы управления исходными текстами Git 2.26.2, 2.25.4, 2.24.3, 2.23.3, 2.22.4, 2.21.3, 2.20.4, 2.19.5, 2.18.4 и 2.17.5, в которых устранена уязвимость (CVE-2020-11008), напоминающая проблему, устранённую на прошлой неделе. Новая уязвимость также затрагивает обработчики "credential.helper" и эксплуатируется при передаче специально оформленного URL, содержащего символ новой строки, пустой хост или не указанную схему запроса. При обработке подобного URL credential.helper отправляет информацию об учётных данных, не соответствующих запрошенному протоколу или хосту, к которому осуществляется обращение.

В отличие от прошлой проблемы при эксплуатации новой уязвимости атакующий не может напрямую контролировать хост, от которого будут переданы чужие учётные данные. То, какие учётные данные утекут зависит от особенностей обработки отсутствующего параметра "host" в credential.helper. Суть проблемы в том, что пустые поля в URL интерпретируются многими обработчиками credential.helper как инструкции для применения к текущему обращению любых учётных данных. Таким образом credential.helper может отправить на указанный в URL сервер атакующего учётные данные, сохранённые для другого сервера.

Проблема проявляется при выполнении таких операций, как "git clone" и "git fetch", но наиболее опасна при обработке субмодулей - при выполнении "git submodule update" автоматически обрабатываются URL, заданные в файле .gitmodules из репозитория. В качестве обходного пути блокирования проблемы рекомендуется не использовать credential.helper при обращении к публичным репозиториям и не применять "git clone" в режиме "--recurse-submodules" с непроверенными репозиториями.

Предложенное в новых выпусках Git исправление запрещает вызов credential.helper для URL, содержащих непредставимые значения (например, при указании трёх слэшей вместо двух - "http:///host" или без схемы протокола - "http::ftp.example.com/"). Проблема затрагивает обработчики store (встроенное хранилище учётных данных Git), cache (встроенный кэш введённых учётных данных) и osxkeychain (хранилище для macOS). Обработчик Git Credential Manager (хранилище для Windows) уязвимости не подвержен. Проследить за выпуском обновлений пакетов в дистрибутивах можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, ALT, FreeBSD.

  1. Главная ссылка к новости (https://lkml.org/lkml/2020/4/2...)
  2. OpenNews: Уязвимость в Git, приводящая к утечке учётных данных
  3. OpenNews: Обновление Git с устранением 8 уязвимостей
  4. OpenNews: В Git устранена уязвимость, которая может привести к выполнению кода атакующего
  5. OpenNews: Обновление Git с устранением уязвимостей
  6. OpenNews: Уязвимость в Git, Subversion и Mercurial, допускающая подстановку команд через URL ssh://
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/52774-git
Ключевые слова: git
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (44) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:50, 20/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –26 +/
    Быстро. Бесплатно. Дыряво.
     
     
  • 2.2, Аноним (2), 22:56, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +15 +/
    Быстро. Бесплатно. Дыряво.
    Медленно. Бесплатно. Дыряво.
    Быстро. Платно. Дыряво.
    Медленно. Платно. Дыряво.

    Вот и все возможные варианты

     
     
  • 3.4, Аноним (4), 23:12, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ещё можно математически доказать недырявость.
     
     
  • 4.5, Аноним (5), 23:13, 20/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Только для тривиальных программ.
     
     
  • 5.10, Аноним (10), 00:20, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Только для недырявых программ.
     
  • 5.25, Аноним (25), 08:30, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Первый принцип философии Unix: красиво небольшое.
     
  • 4.13, Аноним (10), 00:23, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +25 +/
    Сам Тьюринг был дырявай, что уж говорить о его машине.
     
     
  • 5.15, Вася (??), 02:10, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лучший коммент! Это ведь и теорию конечного автомата и биографию Алана надо знать,  чтоб понять эту шутку ))
     
     
  • 6.38, YetAnotherOnanym (ok), 12:00, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Весь кайф испортил!
     
  • 5.39, Аноним (39), 12:18, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Зато Алонзо Чёрч женат и трое детей.
     
  • 4.14, Crazy Alex (ok), 01:34, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Можно. А потум сунуться  в реальное окружение и поймать какой-нибудь rowhammer или spectre. Это не говоря о проблемах вализации специификации по которой будет доказываться недырявость...
     
     
  • 5.34, Michael Shigorin (ok), 11:29, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Тс-с, спугнёте!

    PS: а "вализация" -- это от слова "чемодан"? :)

     
  • 3.37, Michael Shigorin (ok), 11:34, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Быстро. Бесплатно. Дыряво.
    > Медленно. Бесплатно. Дыряво.
    > Быстро. Платно. Дыряво.
    > Медленно. Платно. Дыряво.
    > Вот и все возможные варианты

    qmail потеряли, но столь же кратко не опишу (да и не елъ самъ).

     
  • 2.44, captcha 20168 (?), 15:02, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    дорого -богато-дыряво
    https://www.opennet.me/opennews/art.shtml?num=52779
     
     
  • 3.45, Аноним (45), 15:11, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Долго. Дорого. О**енно.
     

  • 1.3, Коровавирус (?), 22:56, 20/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Число уязвимостей растёт экспоненциально.
     
  • 1.7, Аноним (7), 23:41, 20/04/2020 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Дружно пишем в консоли винды

    git update-git-for-windows -y

    Не благодарите)

     
     
  • 2.8, Иммануил Константинович (?), 00:00, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    choco upgrade git
     
  • 2.9, Fyjy (?), 00:03, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    А откуда мне взять консоль винды?
     
     
  • 3.12, Berg2 (?), 00:23, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Служебные Windows --> Командная строка
     
     
  • 4.16, Fyjy (?), 03:32, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Хм. Ни в i3wm на нетбуке, ни в Gnome3 на десктопе, ни в Mate на ноутбуке такого не обнаружено
     
     
  • 5.17, Аноним (17), 04:01, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Хм... Давайте начнем сначала. Во-первых, находится ли компьютер во включенном состоянии?
     
     
  • 6.18, Fyjy (?), 04:16, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Угу. И ни на одном из них нет Windows. Так как же найти командную строку Windows?
     
     
  • 7.19, Аноним (10), 04:28, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Девочка сегодня первый день работает, а ты так сразу. Ну будь же ты человеком.
     
     
  • 8.35, Michael Shigorin (ok), 11:30, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Эээ поддержкой по телефону, полагаете ... текст свёрнут, показать
     
  • 7.20, A.Stahl (ok), 06:41, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    >И ни на одном из них нет Windows.

    Есть. Виндовс это то что вы видите до того как запустите какую-то программу. Поэтому просто перезагрузите компьютер.

     
     
  • 8.22, Fyjy (?), 07:55, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Когда я запускаю программу, то я вижу окно этой программы А операционной систем... текст свёрнут, показать
     
     
  • 9.26, A.Stahl (ok), 08:41, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Давайте начнём сначала Узнаем какая версия Windows у вас установлена Перезагру... текст свёрнут, показать
     
     
  • 10.28, Fyjy (?), 09:54, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Надпись при загрузке показывает слово 171 Ubuntu 187 Команда lsb_release -i ... текст свёрнут, показать
     
     
  • 11.29, Аноним (29), 10:04, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Это же ОС для домохозяек Ставь Slackware ... текст свёрнут, показать
     
     
  • 12.30, Fyjy (?), 10:29, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Спасибо Со слакой я наигрался в 2001-2003 годах, с той поры я предпочитаю что б... текст свёрнут, показать
     
     
  • 13.48, Аноним (48), 08:01, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    С людьми скучно, я раз попробовал ... текст свёрнут, показать
     
  • 13.50, Аноним (50), 03:11, 23/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    А в чём у вас проблема со slackware Там всё работает ... текст свёрнут, показать
     
  • 11.31, A.Stahl (ok), 10:47, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пожалуйста, не совершайте лишних действий Давайте снова перезагружаем машину и... текст свёрнут, показать
     
     
  • 12.49, Аноним (49), 21:58, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Человеку нужно установить виртуалбокс и туда сначала установить виндовс Я видел... текст свёрнут, показать
     
  • 7.41, Аноним (45), 14:05, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Попробуйте перезагрузить. Выньте из розетки и заново подключите.
     
  • 5.32, Berg2 (?), 10:51, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    И даже в кедах нет??
     
     
  • 6.33, Аноним84701 (ok), 11:12, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И даже в кедах нет??

    А джинсы подворачивать или и так сойдет?


     
  • 6.36, Fyjy (?), 11:31, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кеды в прихожей стоят, но так как я на слоноизоляции я в них не заглядывал, что бы не захотелось на пробежку
     
     
  • 7.42, Аноним (45), 14:10, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Кеды надо было на компьютер ставить, а не в прихожую.
     
     
  • 8.43, Fyjy (?), 14:17, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Не эстетично как-то, пусть в прихожей постоят... текст свёрнут, показать
     
  • 2.11, Главный Ананим (ok), 00:20, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Не благодарите)

    Даже не подумаю

     
  • 2.46, Аноним (45), 15:13, 21/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    Да откуда там может оказаться гит. Там в лучшем случае пасьянс Косынка.
     
  • 2.47, юзер (??), 05:20, 22/04/2020 [^] [^^] [^^^] [ответить]  
  • +/
    > Дружно пишем в консоли винды...

    С какой целью?

    > для Windows уязвимости не подвержен

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру