手机版
你好,游客 登录 注册 搜索
背景:
阅读新闻

Git 2.26.1更新发布,修复使用换行符创建可能的凭据泄漏

[日期:2020-04-15] 来源:Linux公社  作者:醉落红尘 [字体: ]

由于安全问题,今天发布了Git 2.26.1以及可以追溯到Git 2.17的新版本。

Google零项目团队的成员发现,特制的URL可能会欺骗Git客户端向攻击者的主机发送替代主机的凭据信息。

在这种情况下,特制的URL只需要包含一个换行符(行尾控制字符)就可以欺骗现有Git版本上的凭据处理,从而有可能将数据发送给备用主机。

随着今天对Git的紧急更新,凭证协议代码现在正确地禁止了任何值的换行符。有了此漏洞,虽然如果自己运行Git克隆可能很容易发现伪造的URL,但此漏洞也作为Git子模块处理和依赖于凭据帮助程序的其他操作的一部分而暴露。

此Git凭据问题的跟踪记录为CVE-2020-5260。因此,请更新Git以避免这种潜在的恶意泄漏Git服务器用户凭证的行为。

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2020-04/162901.htm

linux
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款