Уязвимость в Git (CVE-2020-11008, CVE-2020-5260)

1. Описание уязвимости:

Уязвимость в Git. Уязвимость затрагивает обработчики "credential.helper" и эксплуатируется при передаче специально оформленного URL, содержащего символ новой строки, пустой хост или не указанную схему запроса. При обработке подобного URL credential.helper отправляет информацию об учётных данных, не соответствующих запрошенному протоколу или хосту, к которому осуществляется обращение.

2. Возможные меры по устранению уязвимости

- отказаться от использования системы управления исходными текстами Git; - не использовать credential.helper при обращении к публичным репозиториям и не применять "git clone" в режиме "--recurse-submodules" с непроверенными репозиториями; или - установить обновления безопасности для пакета: git-1.8.3Установка обновлений возможна следующими способами:а) если компьютер с установленной версией ОС имеет доступ к официальному репозиторию производителя, необходимо запустить от имени администратора обновление командой:# yum updateПосле вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.б) если компьютер с установленной версией ОС не имеет доступа к официальному репозиторию производителя, необходимо выполнить следующие действия: - скачать обновленный пакет (и зависимости при необходимости): http://repo.red-soft.ru/redos/7.2c/x86_64/updates/git-1.8.3.1-14.el7.x86_64.rpm Проверить целостность и подлинность пакета по инструкцииУстановить скачанный пакет командой:# yum localinstall git-1.8.3.1-14.el7.x86_64.rpmПосле вывода списка обновляемых пакетов согласиться на применение обновлений нажав клавишу Y на клавиатуре. Дождаться завершения установки обновлений и убедиться в отсутствии ошибок при их установке.

Дата последнего изменения: 08.09.2021

Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.