Git终端提示信息注入漏洞
漏洞描述:
Git是一款快速、可扩展的分布式版本控制系统,拥有丰富的命令集,既能提供高级操作,也能让用户完全访问内部机制。当Git通过终端提示(即不使用任何凭证助手)请求凭证时,会打印出用户需要提供用户名和/或密码的主机名。此时,任何已解码的URL编码部分都会被直接打印出来,攻击者可以构造包含ANSI转义序列的URL,终端会解释这些序列,从而混淆用户,例如让用户误以为是在为可信的Git托管站点提供密码,但实际上这些密码会被发送到攻击者控制的不可信站点。
攻击场景:
攻击者可以构造包含ANSI转义序列的URL,终端会解释这些序列,从而混淆用户,例如让用户误以为是在为可信的Git托管站点提供密码,但实际上这些密码会被发送到攻击者控制的不可信站点。
影响产品:
1、Git v2.48.0
2、Git v2.47.0
3、Git <= v2.46.2
4、Git <= v2.45.2
5、Git <= v2.44.2
6、Git <= v2.43.5
7、Git <= v2.42.3
8、Git <= v2.41.2
9、Git <= v2.40.3
修复建议:
补丁名称:
ɡit代码执行漏洞—更新至最新版本2.48.1
此问题已通过提交“7725b81”和“с903985”修复,它们包含在发行版本 v2.48.1、v2.47.1、v2.46.3、v2.45.3、v2.44.3、v2.43.6、v2.42.4、v2.41.3和v2.40.4 中,建议用户升级。
官方补丁下载地址:
https://github.com/git/git/commit/7725b8100ffbbff2750ee4d61a0fcc1f53a086e8
https://github.com/git/git/commit/c903985bf7e772e2d08275c1a95c8a55ab011577
无法升级的用户应避免从不受信任的URL进行克隆,尤其是递归克隆。
Git 信息泄露漏洞
漏洞描述:
Git是一款快速、可扩展的分布式版本控制系统,拥有丰富的命令集既能提供高级操作,也能完全访问内部结构。它定义了一种基于行的协议,用于在Git和Git凭证助手之间交换信息。然而,某些生态系统(尤其是.NET和nоdе.јѕ)将单独的回车字符解释为换行符,这使得针对CVE-2020-5260的防护措施对于以这种方式处理回车符的凭证助手来说并不完整,该漏洞存在于Git的凭证助手中,攻击者可利用此漏洞,通过在凭证请求中插入回车字符,导致凭证助手错误地解析凭证,进而可能泄露用户的凭证信息。
攻击场景:
攻击者可能通过在凭证请求中插入回车字符,导致凭证助手错误地解析凭证,进而可能泄露用户的凭证信息。
影响产品:
1、Git v2.48.0
2、Git v2.47.0
3、Git <= v2.46.2
4、Git <= v2.45.2
5、Git <= v2.44.2
6、Git <= v2.43.5
7、Git <= v2.42.3
8、Git <= v2.41.2
9、Git <= v2.40.3
修复建议:
此问题已在提交“b01b9b8”中得到解决.该提交包含在发行版本v2.48.1、v2.47.1、v2.46.3、v2.45.3、v2.44.3、v2.43.6、v2.42.4、v2.41.3 和 v2.40.4 中,建议用户升级。
官方补丁下载地址:
https://github.com/git/git/commit/b01b9b81d36759cdcd07305e78765199e1bc2060
无法升级的用户应避免从不受信任的URL进行克隆,尤其是递归克隆。
原文始发于微信公众号(飓风网络安全):【漏洞预警】Git 终端提示信息注入+信息泄露漏洞
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论