Git用戶(hù)憑證泄露漏洞,git存儲(chǔ)庫(kù)高危漏洞怎么用

Git用戶(hù)憑據(jù)泄露漏洞

2020年4月15日，Git發(fā)布安全公告，公布了一個(gè)導(dǎo)致Git用戶(hù)憑證泄露的漏洞(CVE20205260)。Git使用憑證助手來(lái)幫助用戶(hù)存儲(chǔ)和檢索憑證。

當(dāng)URL包含編碼的換行符(%0a)時(shí)，意外值可能會(huì)被注入到憑據(jù)幫助程序的協(xié)議流中。當(dāng)受影響的git版本在惡意URL上執(zhí)行g(shù)it clone命令時(shí)，將觸發(fā)此漏洞，攻擊者可以使用惡意URL欺騙Git客戶(hù)端發(fā)快遞主機(jī)憑據(jù)。

漏洞號(hào)

CVE20205260

漏洞名稱(chēng)

Git用戶(hù)憑據(jù)泄露漏洞

影響范圍

影響版本

Git 2.17.x=2.17.3

Git 2.18.x=2.18.2

Git 2.19.x=2.19.3

Git 2.20.x=2.20.2

Git 2.21.x=2.21.1

Git 2.22.x=2.22.2

Git 2.23.x=2.23.1

Git 2.24.x=2.24.1

Git 2.25.x=2.25.2

Git 2.26.x=2.26.0

安全版本

Git 2.17

Git 2.18

Git 2.19

Git 2.20

Git 2

Git 2.22

Git 2.23

Git 2

Git 2.25

Git 2.26

官網(wǎng)解決方案

目前官方已經(jīng)在最新版本中修復(fù)了該漏洞。請(qǐng)受影響的用戶(hù)及時(shí)升級(jí)到安全版本。

官方下載鏈接:https://github.com/git/git/releases

檢測(cè)和維修建議

華為云企業(yè)主機(jī)安全服務(wù)可以方便地檢測(cè)并修復(fù)該漏洞。

1.檢查并查看漏洞的詳細(xì)信息，如圖1所示。詳細(xì)操作步驟請(qǐng)參考查看漏洞詳情。

圖1手動(dòng)檢測(cè)漏洞

2.漏洞修復(fù)和驗(yàn)證。詳細(xì)操作步驟請(qǐng)參考漏洞修復(fù)與驗(yàn)證。

其他保護(hù)建議

如果暫時(shí)無(wú)法升級(jí)，也可以采取以下措施進(jìn)行保護(hù):

方法1:使用以下命令禁用憑據(jù)幫助程序

git配置取消設(shè)置憑據(jù)。helper

git configglobalunset credential . helper

git configsystemunset credential . helper

方法二:提高警惕，避免惡意網(wǎng)址。

1.使用git clone時(shí)，檢查URL的主機(jī)名和用戶(hù)名中是否有編碼的換行符(%0a)或憑據(jù)協(xié)議注入的證據(jù)(例如:host=github.com)。

2.避免使用不可信倉(cāng)庫(kù)的子模塊(不要使用clone clonerecursesub modules；；僅在檢查中找到的url后使用git子模塊更新。gitmodules)。

3.不要在不受信任的URL上執(zhí)行g(shù)it克隆。

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問(wèn)題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。