Git用戶憑證泄露漏洞,git泄露

Git用戶憑證泄露漏洞

2020年4月15日，Git發布安全通告公布了一個導致Git用戶憑證泄露的漏洞（CVE20205260）。Git使用憑證助手(credential helper)來幫助用戶存儲和檢索憑證。

當URL中包含經過編碼的換行符（%0a）時，可能將非預期的值注入到credential helper的協議流中。受影響Git版本對惡意URL執行git clone命令時，會觸發此漏洞，攻擊者可利用惡意URL欺騙Git客戶端發快遞主機憑據。

漏洞編號

CVE20205260

漏洞名稱

Git用戶憑證泄露漏洞

影響范圍

影響版本

·Git 2.17.x=2.17.3

·Git 2.18.x=2.18.2

·Git 2.19.x=2.19.3

·Git 2.20.x=2.20.2

·Git 2.21.x=2.21.1

·Git 2.22.x=2.22.2

·Git 2.23.x=2.23.1

·Git 2.24.x=2.24.1

·Git 2.25.x=2.25.2

·Git 2.26.x=2.26.0

安全版本

·Git 2.17.4

·Git 2.18.3

·Git 2.19.4

·Git 2.20.3

·Git 2.21.2

·Git 2.22.3

·Git 2.23.2

·Git 2.24.2

·Git 2.25.3

·Git 2.26.1

官網解決方案

目前官方已在最新版本中修復了該漏洞，請受影響的用戶及時升級到安全版本。

官方下載鏈接：https://github.com/git/git/releases

檢測與修復建議

華為云企業主機安全服務對該漏洞的便捷檢測與修復。

1.檢測并查看漏洞詳情，如圖1所示，詳細的操作步驟請參見查看漏洞詳情。

圖1手動檢測漏洞

2.漏洞修復與驗證，詳細的操作步驟請參見漏洞修復與驗證。

其他防護建議

若您暫時無法進行升級操作，也可以采用以下方式進行防護：

·方式一：使用以下命令禁用credential helper

git configunset credential.helper

git configglobalunset credential.helper

git configsystemunset credential.helper

·方式二：提高警惕避免惡意URL

1.使用git clone時，檢查URL的主機名和用戶名中是否存在編碼的換行符（%0a）或者憑據協議注入的證據（例如：host=github.com）。

2.避免將子模塊與不受信任的倉庫一起使用（不使用clonerecursesubmodules；只有在檢查.gitmodules中找到url之后，才使用git submodule update）。

3.請勿對不受信任的URL執行git clone。

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。