首页 > 清静研究 > 清静转达 > 清静通告

CVE-2020-5260| Git输入验证过失误差通告

宣布时间 2020-04-17

0x00 误差概述

CVE ID

CVE-2020-5260

时间

2020-04-17

类型

IVE

等级

严重

远程使用

是

影响规模

Git 2.17.x <= 2.17.3

Git 2.18.x <= 2.18.2

Git 2.19.x <= 2.19.3

Git 2.20.x <= 2.20.2

Git 2.21.x <= 2.21.1

Git 2.22.x <= 2.22.2

Git 2.23.x <= 2.23.1

Git 2.24.x <= 2.24.1

Git 2.25.x <= 2.25.2

Git 2.26.x <= 2.26.0

0x01 误差详情

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Git是一套免费、开源的漫衍式版本控制系统，，，，，旨在快速高效地处置惩罚从小型到大型项目的所有内容。。。。。。

4月14日，，，，，Git宣布了一个输入验证过失误差（CVE-2020-5260）,该误差会导致Git用户凭证泄露。。。。。。

Git使用凭证助手(credential helper)来资助用户存储和检索凭证。。。。。。当URL中包括经由编码的换行符（%0a）时，，，，，可能将非预期的值注入到credential helper的协议流中。。。。。。导致凭证助手检索一个效劳器的密码，，，，，向另一个效劳器发出HTTP请求，，，，，使前者的凭证发送到后者，，，，，并且两者之间的关系没有任何限制。。。。。。这意味着攻击者可以制作一个URL，，，，，该URL将向其选择的主机提供任何主机的存储凭证。。。。。。受影响版本 Git对恶意 URL 执行 git clone 下令时会触发此误差，，，，，攻击者可使用恶意URL诱骗Git客户端发送主机凭证。。。。。。

0x02 处置惩罚建议

升级补�。。。。。。�，，，，下载链接：

https://github.com/git/git/releases

暂时步伐：

禁用credential helper：

git config --unset credential.helper

git config --global --unset credential.helper

git config --system --unset credential.helper

阻止恶意URL:

1. git clone时检查URL的主机名和用户名部分是否保存编码的换行符（%0a）或凭证协议注入的证据（例如host=github.com）；；；；；；；

2. 阻止将子�？？？橛氩皇苄湃蔚拇娲⒖庖黄鹗褂茫ú灰褂胏lone --recurse-submodules；；；；；；；仅在检查.gitmodules中的URL之后才使用git子�？？？楦拢�；；；；；；

3. 阻止对不信任的URL执行 git clone。。。。。。

0x03 相关新闻

https://www.suse.com/security/cve/CVE-2020-5260/

0x04 参考链接

https://nvd.nist.gov/vuln/detail/CVE-2020-5260

https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q

0x05 时间线

2020-04-14 Git宣布通告

2020-04-14 CVE宣布该误差

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

CVE-2020-5260| Git输入验证过失误差通告

关于鉴黑担保网

解决计划

联系鉴黑担保网

7*24小时效劳热线