金沙js1996

js1996官网登录

  • 基础设施安全

    基础设施安全
  • 数据安全

    数据安全
  • 云计算安全

    云计算安全
  • 工业互联网安全

    工业互联网安全
  • 物联网安全

    物联网安全
  • 信息技术应用创新

    信息技术应用创新
  • 全部产品

    全部产品
  • 全部解决方案

    全部解决方案

基础设施安全


  • 政府

    政府
  • 运营商

    运营商
  • 金融

    金融
  • 能源

    能源
  • 交通

    交通
  • 企业

    企业
  • 科教文卫

    科教文卫

返回列表

「漏洞通告」Git公布凭证泄露漏洞(CVE-2020-5260)

2020-04-16

近日,Git发布安全通告公布了一个可能泄露Git用户凭证的漏洞(CVE-2020-5260)。

Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。但是当一个URL中包含经过编码的换行符时,可能将非预期的值注入到credential helper的协议流中。这将使恶意URL欺骗Git客户端去向攻击者发送主机凭据。当使用受影响版本 Git对恶意 URL 执行 git clone 命令时会触发该漏洞。

参考链接:

https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q

 

受影响版本

  • Git 2.17.x <= 2.17.3
  • Git 2.18.x <= 2.18.2
  • Git 2.19.x <= 2.19.3
  • Git 2.20.x <= 2.20.2
  • Git 2.21.x <= 2.21.1
  • Git 2.22.x <= 2.22.2
  • Git 2.23.x <= 2.23.1 
  • Git 2.24.x <= 2.24.1
  • Git 2.25.x <= 2.25.2 
  • Git 2.26.x <= 2.26.0

不受影响版本

  • Git 2.17.4
  • Git 2.18.3
  • Git 2.19.4
  • Git 2.20.3
  • Git 2.21.2
  • Git 2.22.3
  • Git 2.23.2
  • Git 2.24.2
  • Git 2.25.3
  • Git 2.26.1

解决方案

官方已发布修复了漏洞的新版本,建议受影响用户及时下载更新。

https://github.com/git/git/releases

另外,还提供了其他方法解决或规避该问题:

  • 禁用credential helper
  • 提防恶意URL
  1. git clone时检查URL的主机名和用户名部分是否存在编码的换行符(%0a)或凭据协议注入的证据(例如host=github.com)
  2. 避免将子模块与不受信任的仓库一起使用(不要使用 clone –recurse-submodules;只有在检查.gitmodules中找到url之后,才使用git submodule update)。
  3. 避免对不信任的URL执行 git clone。

<<上一篇

「漏洞通告」WebLogic多个远程代码执行漏洞

>>下一篇

「漏洞通告」Junos OS HTTP&HTTPS 服务高危漏洞 (CVE-2020-1631)

您的联系方式

*姓名
*单位名称
*联系方式
*验证码
提交到邮箱

购买热线

  • 购买咨询:

    400-818-6868-1

提交项目需求

欢迎加入js1996官网登录,成为我们的合作伙伴!
  • *请描述您的需求
  • *最终客户名称
  • *项目名称
  • 您感兴趣的产品
  • 项目预算
您的联系方式
  • *姓名
  • *联系电话
  • *邮箱
  • *职务
  • *公司
  • *城市
  • *行业
  • *验证码
  • 提交到邮箱

服务支持

智能客服
智能客服
购买/售后技术问题
盟管家-售后服务系统
盟管家-售后服务系统
在线提单|智能问答|知识库
支持热线
支持热线
400-818-6868
js1996官网登录社区
js1996官网登录社区
资料下载|在线问答|技术交流

© 2024 NSFOCUS js1996官网登录 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号 京ICP备14004349号 京ICP证110355号

XML 地图