Git用戶憑證泄露漏洞,git泄露-ESG跨境

Git用戶憑證泄露漏洞,git泄露

Git用戶憑證泄露漏洞

2020年4月15日，Git發(fā)布安全通告公布了一個(gè)導(dǎo)致Git用戶憑證泄露的漏洞（CVE20205260）。Git使用憑證助手(credential helper)來幫助用戶存儲(chǔ)和檢索憑證。

當(dāng)URL中包含經(jīng)過編碼的換行符（%0a）時(shí)，可能將非預(yù)期的值注入到credential helper的協(xié)議流中。受影響Git版本對(duì)惡意URL執(zhí)行g(shù)it clone命令時(shí)，會(huì)觸發(fā)此漏洞，攻擊者可利用惡意URL欺騙Git客戶端發(fā)快遞主機(jī)憑據(jù)。

漏洞編號(hào)

CVE20205260

漏洞名稱

Git用戶憑證泄露漏洞

影響范圍

影響版本

·Git 2.17.x=2.17.3

·Git 2.18.x=2.18.2

·Git 2.19.x=2.19.3

·Git 2.20.x=2.20.2

·Git 2.21.x=2.21.1

·Git 2.22.x=2.22.2

·Git 2.23.x=2.23.1

·Git 2.24.x=2.24.1

·Git 2.25.x=2.25.2

·Git 2.26.x=2.26.0

安全版本

·Git 2.17.4

·Git 2.18.3

·Git 2.19.4

·Git 2.20.3

·Git 2.21.2

·Git 2.22.3

·Git 2.23.2

·Git 2.24.2

·Git 2.25.3

·Git 2.26.1

官網(wǎng)解決方案

目前官方已在最新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶及時(shí)升級(jí)到安全版本。

官方下載鏈接：https://github.com/git/git/releases

檢測(cè)與修復(fù)建議

華為云企業(yè)主機(jī)安全服務(wù)對(duì)該漏洞的便捷檢測(cè)與修復(fù)。

1.檢測(cè)并查看漏洞詳情，如圖1所示，詳細(xì)的操作步驟請(qǐng)參見查看漏洞詳情。

圖1手動(dòng)檢測(cè)漏洞

2.漏洞修復(fù)與驗(yàn)證，詳細(xì)的操作步驟請(qǐng)參見漏洞修復(fù)與驗(yàn)證。

其他防護(hù)建議

若您暫時(shí)無法進(jìn)行升級(jí)操作，也可以采用以下方式進(jìn)行防護(hù)：

·方式一：使用以下命令禁用credential helper

git configunset credential.helper

git configglobalunset credential.helper

git configsystemunset credential.helper

·方式二：提高警惕避免惡意URL

1.使用git clone時(shí)，檢查URL的主機(jī)名和用戶名中是否存在編碼的換行符（%0a）或者憑據(jù)協(xié)議注入的證據(jù)（例如：host=github.com）。

2.避免將子模塊與不受信任的倉庫一起使用（不使用clonerecursesubmodules；只有在檢查.gitmodules中找到url之后，才使用git submodule update）。

3.請(qǐng)勿對(duì)不受信任的URL執(zhí)行g(shù)it clone。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。