4月15日,Git 发布安全通告公布了一个导致Git用户凭证泄露的漏洞(CVE-2020-5260)。Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。当 URL 中包含经过编码的换行符(%0a)时,可能将非预期的值注入到 credential helper 的协议流中。受影响版本 Git对恶意 URL 执行 git clone 命令时会触发此漏洞,攻击者可利用恶意 URL 欺骗 Git 客户端发送主机凭据。请相关用户采取措施进行防护。 漏洞检测. 可以通过查看当前使用的 git 版本检查是否属于受影响范围:

若当前使用版本在受影响范围内,则可能存在安全风险。 漏洞影响.



Source link

You must be logged in to post a comment.