Confira !!
O Git 2.26.1, juntamente com os novos lançamentos de pontos do Git 2.17, foram emitidos hoje como resultado de um problema de segurança.
Um membro da equipe do Project Zero do Google descobriu que um URL especialmente criado poderia induzir o cliente Git a enviar informações de credenciais para um host alternativo ao host de um invasor.
Nesse caso, o URL especialmente criado precisa conter apenas um caractere de nova linha (caractere de controle de fim de linha) para enganar o manuseio de credenciais nas versões existentes do Git e potencialmente enviar os dados para um host alternativo.
Com as atualizações de emergência atuais do Git, o código do protocolo de credenciais agora está proibindo com razão os caracteres de nova linha em qualquer valor. Com essa vulnerabilidade, embora possa ser fácil identificar um URL falsificado se você estiver executando o clone do Git, essa vulnerabilidade também foi exposta como parte do manuseio do submódulo do Git e de outras operações que contam com o auxiliar de credencial.
Esse problema de credencial do Git foi rastreado como CVE-2020-5260. Portanto, atualize o Git para evitar essa divulgação maliciosa em potencial das credenciais de usuário do servidor Git.
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário