最近,Git发布了一个安全公告,宣布可能泄露Git用户凭据的漏洞(CVE-2020-5260)。
Git使用凭证助手来帮助用户存储和检索凭证。 但是,当URL包含编码的换行符时,它可能会将意外的值注入凭证帮助程序的协议流中。 这将导致恶意URL欺骗Git客户端以将主机凭据发送给攻击者。 当受影响的Git版本用于在恶意URL上执行git clone命令时,将触发此漏洞。
受影响的版本
Git 2.17.x <= 2.17.3
Git 2.18.x <= 2.18.2
Git 2.19.x <= 2.19.3
Git 2.20.x <= 2.20.2
Git 2.21.x <= 2.21.1
Git 2.22.x <= 2.22.2
Git 2.23.x <= 2.23.1
Git 2.24.x <= 2.24.1
Git 2.25.x <= 2.25.2
Git 2.26.x <= 2.26.0
不受影响的版本
Git 2.17.4
Git 2.18.3
Git 2.19.4
Git 2.20.3
Git 2.21.2
Git 2.22.3
Git 2.23.2
Git 2.24.2
Git 2.25.3
Git 2.26.1
解决方法:
用户请尽快升级到未受影响的版本。
Linux公社的RSS地址:https://www.linuxidc.com/rssFeed.aspx