Git用戶憑證泄露漏洞,git泄露-ESG跨境

Git用戶憑證泄露漏洞,git泄露

Git用戶憑證泄露漏洞

2020年4月15日，Git發(fā)布安全通告公布了一個導(dǎo)致Git用戶憑證泄露的漏洞（CVE20205260）。Git使用憑證助手(credential helper)來幫助用戶存儲和檢索憑證。

當URL中包含經(jīng)過編碼的換行符（%0a）時，可能將非預(yù)期的值注入到credential helper的協(xié)議流中。受影響Git版本對惡意URL執(zhí)行g(shù)it clone命令時，會觸發(fā)此漏洞，攻擊者可利用惡意URL欺騙Git客戶端發(fā)快遞主機憑據(jù)。

漏洞編號

CVE20205260

漏洞名稱

Git用戶憑證泄露漏洞

影響范圍

影響版本

·Git 2.17.x=2.17.3

·Git 2.18.x=2.18.2

·Git 2.19.x=2.19.3

·Git 2.20.x=2.20.2

·Git 2.21.x=2.21.1

·Git 2.22.x=2.22.2

·Git 2.23.x=2.23.1

·Git 2.24.x=2.24.1

·Git 2.25.x=2.25.2

·Git 2.26.x=2.26.0

安全版本

·Git 2.17.4

·Git 2.18.3

·Git 2.19.4

·Git 2.20.3

·Git 2.21.2

·Git 2.22.3

·Git 2.23.2

·Git 2.24.2

·Git 2.25.3

·Git 2.26.1

官網(wǎng)解決方案

目前官方已在最新版本中修復(fù)了該漏洞，請受影響的用戶及時升級到安全版本。

官方下載鏈接：https://github.com/git/git/releases

檢測與修復(fù)建議

華為云企業(yè)主機安全服務(wù)對該漏洞的便捷檢測與修復(fù)。

1.檢測并查看漏洞詳情，如圖1所示，詳細的操作步驟請參見查看漏洞詳情。

圖1手動檢測漏洞

2.漏洞修復(fù)與驗證，詳細的操作步驟請參見漏洞修復(fù)與驗證。

其他防護建議

若您暫時無法進行升級操作，也可以采用以下方式進行防護：

·方式一：使用以下命令禁用credential helper

git configunset credential.helper

git configglobalunset credential.helper

git configsystemunset credential.helper

·方式二：提高警惕避免惡意URL

1.使用git clone時，檢查URL的主機名和用戶名中是否存在編碼的換行符（%0a）或者憑據(jù)協(xié)議注入的證據(jù)（例如：host=github.com）。

2.避免將子模塊與不受信任的倉庫一起使用（不使用clonerecursesubmodules；只有在檢查.gitmodules中找到url之后，才使用git submodule update）。

3.請勿對不受信任的URL執(zhí)行g(shù)it clone。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。