Este conteúdo foi traduzido por máquina para sua conveniência e a Huawei Cloud não pode garantir que o conteúdo foi traduzido com precisão. Para exibir o conteúdo original, use o link no canto superior direito para mudar para a página em inglês.
Central de ajuda/ Host Security Service/ Melhores práticas/ Detecção e correção de vulnerabilidades/ Vulnerabilidade de divulgação de credenciais do Git (CVE-2020-5260)
Atualizado em 2024-09-29 GMT+08:00
Ver PDF
Compartilhar

Vulnerabilidade de divulgação de credenciais do Git (CVE-2020-5260)

O Git emitiu um boletim de segurança anunciando uma vulnerabilidade que poderia revelar as credenciais de usuário do Git (CVE-2020-5260). O Git usa um auxiliar de credenciais para armazenar e recuperar credenciais.

Mas quando um URL contém uma nova linha codificada (%0a), ele pode injetar valores inesperados no fluxo de protocolo do auxiliar de credenciais. Essa vulnerabilidade é acionada quando a versão afetada do Git é usada para executar um comando git clone em um URL malicioso.

ID da vulnerabilidade

CVE-2020-5260

Nome da vulnerabilidade

Vulnerabilidade de divulgação de credenciais do Git

Escopo do impacto

Versões afetadas:

  • Git 2.17.x <= 2.17.3
  • Git 2.18.x <= 2.18.2
  • Git 2.19.x <= 2.19.3
  • Git 2.20.x <= 2.20.2
  • Git 2.21.x <= 2.21.1
  • Git 2.22.x <= 2.22.2
  • Git 2.23.x <= 2.23.1
  • Git 2.24.x <= 2.24.1
  • Git 2.25.x <= 2.25.2
  • Git 2.26.x <= 2.26.0

Versões não afetadas:

  • Git 2.17.4
  • Git 2.18.3
  • Git 2.19.4
  • Git 2.20.3
  • Git 2.21.2
  • Git 2.22.3
  • Git 2.23.2
  • Git 2.24.2
  • Git 2.25.3
  • Git 2.26.1

Solução oficial

Essa vulnerabilidade foi corrigida na versão oficial mais recente. Se sua versão de serviço estiver dentro do intervalo afetado, atualize-a para a versão segura mais recente.

Endereço para download: https://github.com/git/git/releases

Sugestão

Execute as etapas a seguir para verificar e corrigir uma vulnerabilidade.

  1. Detecte e visualize os detalhes da vulnerabilidade, conforme mostrado em Inicialização manual de uma verificação de vulnerabilidades. Para obter detalhes, consulte Visualização de detalhes de vulnerabilidades.

    Figura 1 Inicialização manual de uma verificação de vulnerabilidades

  2. Corrija as vulnerabilidades e verifique o resultado. Para obter detalhes, consulte Manipulação de vulnerabilidades.

Outras medidas de proteção

Se você não pode realizar a atualização no momento, você pode tomar as seguintes medidas:

  • Desative o auxiliar de credenciais executando os seguintes comandos:

    git config --unset credential.helper

    git config --global --unset credential.helper

    git config --system --unset credential.helper

  • Fique atento aos URLs maliciosos.
    1. Examine o nome do servidor e a parte do nome do usuário dos URLs alimentados ao git clone para a presença de novas linhas codificadas (%0a) ou evidências de injeções de protocolo de credenciais (exemplo: host=github.com).
    2. Evite usar submódulos com repositórios não confiáveis (não use clone –recurse-submodules; use git submodule update somente após examinar os URLs encontrados em gitmodules).
    3. Evite ferramentas que podem executar o git clone.