【安全通报】Git凭证泄露漏洞(CVE-2020-5260)

0nise  1710天前

1.png

4月15日,Git 发布安全通告公布了一个导致Git用户凭证泄露的漏洞(CVE-2020-5260)。Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。当 URL 中包含经过编码的换行符(%0a)时,可能将非预期的值注入到 credential helper 的协议流中。受影响版本 Git对恶意 URL 执行 git clone 命令时会触发此漏洞,攻击者可利用恶意 URL 欺骗 Git 客户端发送主机凭据。请相关用户采取措施进行防护。

漏洞检测

可以通过查看当前使用的 git 版本检查是否属于受影响范围:

git --version

2.png

若当前使用版本在受影响范围内,则可能存在安全风险。

漏洞影响

漏洞影响版本:

  • Git 2.17.x <= 2.17.3
  • Git 2.18.x <= 2.18.2
  • Git 2.19.x <= 2.19.3
  • Git 2.20.x <= 2.20.2
  • Git 2.21.x <= 2.21.1
  • Git 2.22.x <= 2.22.2
  • Git 2.23.x <= 2.23.1
  • Git 2.24.x <= 2.24.1
  • Git 2.25.x <= 2.25.2
  • Git 2.26.x <= 2.26.0

不受影响版本

  • Git 2.17.4
  • Git 2.18.3
  • Git 2.19.4
  • Git 2.20.3
  • Git 2.21.2
  • Git 2.22.3
  • Git 2.23.2
  • Git 2.24.2
  • Git 2.25.3
  • Git 2.26.1

修复

目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://github.com/git/git/releases

参考

[1] https://mp.weixin.qq.com/s/juunkJX_MfD85M2KrWlT3A

白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论