Confira !!
Na semana passada, houve uma série de novos lançamentos do Git devido a um problema de segurança sobre o personagem da nova linha, criando um possível vazamento de credenciais . Esta semana é outra rodada de lançamentos de emergência do Git devido a um bug de segurança semelhante.
O Git 2.26.2 foi lançado hoje, juntamente com novos lançamentos de pontos do Git 2.25 ao Git 2.17. Esses novos lançamentos do Git estão surgindo como resultado de um bug de segurança semelhante ao problema da semana passada.
No anúncio, a última angústia de segurança é resumida como:
Com uma URL criada que contém uma nova linha ou host vazio ou sem um esquema, o mecanismo auxiliar de credenciais pode ser enganado ao fornecer informações de credenciais que não são apropriadas para o protocolo em uso e para o host que está sendo contatado.
Diferente da vulnerabilidade CVE-2020-5260 corrigida na v2.17.4, as credenciais não são para um host escolhido pelo invasor; em vez disso, são para algum host não especificado (com base em como o auxiliar de credencial configurado lida com um parâmetro "host" ausente).
O ataque foi tornado impossível ao se recusar a trabalhar com padrões de credenciais subespecificados.
Mais comentários sobre esta atualização de segurança mais recente no blog do GitHub .
Fonte
Até a próxima !
Nenhum comentário:
Postar um comentário