Git用户凭证泄露漏洞,git存储库高危漏洞怎么用-ESG跨境

Git用户凭证泄露漏洞,git存储库高危漏洞怎么用

Git用户凭据泄露漏洞

2020年4月15日，Git发布安全公告，公布了一个导致Git用户凭证泄露的漏洞(CVE20205260)。Git使用凭证助手来帮助用户存储和检索凭证。

当URL包含编码的换行符(%0a)时，意外值可能会被注入到凭据帮助程序的协议流中。当受影响的git版本在恶意URL上执行git clone命令时，将触发此漏洞，攻击者可以使用恶意URL欺骗Git客户端发快递主机凭据。

漏洞号

CVE20205260

漏洞名称

Git用户凭据泄露漏洞

影响范围

影响版本

Git 2.17.x=2.17.3

Git 2.18.x=2.18.2

Git 2.19.x=2.19.3

Git 2.20.x=2.20.2

Git 2.21.x=2.21.1

Git 2.22.x=2.22.2

Git 2.23.x=2.23.1

Git 2.24.x=2.24.1

Git 2.25.x=2.25.2

Git 2.26.x=2.26.0

安全版本

Git 2.17

Git 2.18

Git 2.19

Git 2.20

Git 2

Git 2.22

Git 2.23

Git 2

Git 2.25

Git 2.26

官网解决方案

目前官方已经在最新版本中修复了该漏洞。请受影响的用户及时升级到安全版本。

官方下载链接:https://github.com/git/git/releases

检测和维修建议

华为云企业主机安全服务可以方便地检测并修复该漏洞。

1.检查并查看漏洞的详细信息，如图1所示。详细操作步骤请参考查看漏洞详情。

图1手动检测漏洞

2.漏洞修复和验证。详细操作步骤请参考漏洞修复与验证。

其他保护建议

如果暂时无法升级，也可以采取以下措施进行保护:

方法1:使用以下命令禁用凭据帮助程序

git配置取消设置凭据。helper

git configglobalunset credential . helper

git configsystemunset credential . helper

方法二:提高警惕，避免恶意网址。

1.使用git clone时，检查URL的主机名和用户名中是否有编码的换行符(%0a)或凭据协议注入的证据(例如:host=github.com)。

2.避免使用不可信仓库的子模块(不要使用clone clonerecursesub modules；；仅在检查中找到的url后使用git子模块更新。gitmodules)。

3.不要在不受信任的URL上执行git克隆。

特别声明：以上文章内容仅代表作者本人观点，不代表ESG跨境电商观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与ESG跨境电商联系。