Vulnerabilità: CVE-2020-5260

versioni interessate di Git hanno una vulnerabilità per cui Git può essere indotti a inviare le credenziali private a un host controllato da un hacker. Git utilizza programmi esterni ""credenziale helper"" per archiviare e recuperare le password o altre credenziali di archiviazione sicura fornita dal sistema operativo. URL che contengono un ritorno a capo codificato può iniettare valori indesiderate nel flusso del protocollo aiutante credenziale, causando l’helper credenziale per recuperare la password per un server (ad esempio, good.example.com) per una richiesta HTTP compiuti a un altro server (appositamente predisposto ad esempio, evil.example.com), con conseguente credenziali per il primo è trasmesso a quest’ultima. Non ci sono restrizioni sul rapporto tra i due, il che significa che un utente malintenzionato può predisporre un URL che presenterà le credenziali archiviate per qualsiasi host a una serie di loro scelta. La vulnerabilità può essere attivata alimentando un URL dannoso clone git. Tuttavia, gli URL interessati sono piuttosto sospette; il probabile vettore sarebbe attraverso sistemi quali URL automaticamente clone non visibili all’utente, quali moduli Git o sistemi pacchetto costruiti attorno Git. Il problema è stato aggiornato nelle versioni pubblicate il 14 aprile 2020, che risale al v2.17.x. Chi volesse backport ulteriormente il cambiamento può farlo mediante l’applicazione di commettere 9a6bbee (il rilascio completo comprende controlli aggiuntivi per fsck git, ma che impegnarsi è sufficiente per i clienti la protezione contro la vulnerabilità). Le versioni con patch sono: 2.17.4, 2.18.3, 2.19.4, 2.20.3, 2.21.2, 2.22.3, 2.23.2, 2.24.2, 2.25.3, 2.26.1.


https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q
https://support.apple.com/kb/HT211141
https://www.debian.org/security/2020/dsa-4657
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/74Q7WVJ6FKLIN62VS2JD2XCNWK5TNKOW/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/MOCTR2SEHCPSCOVUQJAGFPGKFMI2VE6V/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/7TVS5UG6JD3MYIGSBKMIOS6AF7CR5IPI/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/XPCEOIFLLEF24L6GLVJVFZX4CREDEHDF/
https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/PN3FUOXKX3AXTULYV53ACABER2W2FSOU/
https://security.gentoo.org/glsa/202004-13
http://packetstormsecurity.com/files/157250/Git-Credential-Helper-Protocol-Newline-Injection.html
https://github.com/git/git/commit/9a6bbee8006c24b46a85d29e7b38cfa79e9ab21b
https://lore.kernel.org/git/xmqqy2qy7xn8.fsf@gitster.c.googlers.com/
https://lists.debian.org/debian-lts-announce/2020/04/msg00010.html
http://www.openwall.com/lists/oss-security/2020/04/15/5
http://www.openwall.com/lists/oss-security/2020/04/15/6
http://www.openwall.com/lists/oss-security/2020/04/20/1
http://lists.opensuse.org/opensuse-security-announce/2020-04/msg00027.html
http://lists.opensuse.org/opensuse-security-announce/2020-05/msg00003.html
https://usn.ubuntu.com/4329-1/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5260


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi