Subject: [ASA-202004-13] git: раскрытие информации Рекомендация по безопасности UBLinux ASA-202004-13 ================================================== Уровень : Высокий Дата : 2020-04-15 CVE-ID : CVE-2020-5260 Пакет : git Тип : раскрытие информации Удалённо : Да Ссылка : https://security.ublinux.ru/AVG-20 Сводка ======= Пакет git до версии 2.26.1-1 имеет уязвимость раскрытие информации. Решение ========== Обновление до версии 2.26.1-1. # pacman -Syu "git>=2.26.1-1" Проблема устранена в апстриме в версии 2.26.1. Путь для обхода ========== The most complete workaround is to disable credential helpers altogether: git config --unset credential.helper git config --global --unset credential.helper git config --system --unset credential.helper An alternative is to avoid malicious URLs: 1. Examine the hostname and username portion of URLs fed to git clone for the presence of encoded newlines (%0a) or evidence of credential- protocol injections (e.g., host=github.com) 2. Avoid using submodules with untrusted repositories (don't use clone --recurse-submodules; use git submodule update only after examining the URLs found in .gitmodules) 3. Avoid tools which may run git clone on untrusted URLs under the hood Описание =========== Затронутые версии Git имеют уязвимость, с помощью которой Git можно обмануть, отправив личные учетные данные на хост, контролируемый злоумышленником. Git использует внешние программы-помощники по учетным данным для хранения и извлечения паролей или других учетных данных из безопасного хранилища, предоставляемого операционной системой. Специально созданные URL-адреса, которые содержат закодированную новую строку, могут вводить непредусмотренные значения в поток протокола вспомогательной учетной записи, в результате чего вспомогательная учетная запись получает пароль для одного сервера (например, good.example.com) для HTTP-запроса, отправляемого на другой сервер ( например, evil.example.com), в результате чего учетные данные для первого отправляются второму. Нет никаких ограничений на отношения между ними, а это означает, что злоумышленник может создать URL-адрес, который будет представлять сохраненные учетные данные для любого хоста хосту по своему выбору. Уязвимость может быть вызвана загрузкой вредоносного URL-адреса в git clone. Однако затронутые URL выглядят довольно подозрительно; вероятный вектор будет через системы, которые автоматически клонируют URL-адреса, невидимые для пользователя, такие как подмодули Git или системы пакетов, построенные на основе Git. Проблема исправлена ​​в версиях, опубликованных 14 апреля 2020 г., начиная с v2.17.x. Любой, кто желает создать резервную копию изменения, может сделать это, применив фиксацию 9a6bbee (полная версия включает дополнительные проверки для git fsck, но этой фиксации достаточно для защиты клиентов от уязвимости). Исправленные версии: 2.17.4, 2.18.3, 2.19.4, 2.20.3, 2.21.2, 2.22.3, 2.23.2, 2.24.2, 2.25.3, 2.26.1. Влияние ====== Удаленный злоумышленник может обманом заставить Git вернуть учетные данные не того хоста, указав вредоносный URL. Рекомендации ========== https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q https://lore.kernel.org/git/xmqqy2qy7xn8.fsf@gitster.c.googlers.com/ https://bugs.chromium.org/p/project-zero/issues/detail?id=2021 https://security.ublinux.ru/CVE-2020-5260