華為云HSS：Git用戶憑證泄露漏洞

2020年4月15日，Git發(fā)布安全通告公布了一個(gè)導(dǎo)致Git用戶憑證泄露的漏洞（CVE-2020-5260）。Git使用憑證助手(credential helper)來(lái)幫助用戶存儲(chǔ)和檢索憑證。

當(dāng)URL中包含經(jīng)過(guò)編碼的換行符（%0a）時(shí)，可能將非預(yù)期的值注入到credential helper的協(xié)議流中。受影響Git版本對(duì)惡意URL執(zhí)行g(shù)it clone命令時(shí)，會(huì)觸發(fā)此漏洞，攻擊者可利用惡意URL欺騙Git客戶端發(fā)送主機(jī)憑據(jù)。

漏洞編號(hào)

CVE-2020-5260

漏洞名稱

Git用戶憑證泄露漏洞

影響范圍

影響版本

·Git 2.17.x<=2.17.3

·Git 2.18.x<=2.18.2

·Git 2.19.x<=2.19.3

·Git 2.20.x<=2.20.2

·Git 2.21.x<=2.21.1

·Git 2.22.x<=2.22.2

·Git 2.23.x<=2.23.1

·Git 2.24.x<=2.24.1

·Git 2.25.x<=2.25.2

·Git 2.26.x<=2.26.0

安全版本

·Git 2.17.4

·Git 2.18.3

·Git 2.19.4

·Git 2.20.3

·Git 2.21.2

·Git 2.22.3

·Git 2.23.2

·Git 2.24.2

·Git 2.25.3

·Git 2.26.1

官網(wǎng)解決方案

目前官方已在最新版本中修復(fù)了該漏洞，請(qǐng)受影響的用戶及時(shí)升級(jí)到安全版本。

官方下載鏈接：https://github.com/git/git/releases

檢測(cè)與修復(fù)建議

華為云企業(yè)主機(jī)安全服務(wù)對(duì)該漏洞的便捷檢測(cè)與修復(fù)。

1.檢測(cè)并查看漏洞詳情，如圖1所示，詳細(xì)的操作步驟請(qǐng)參見(jiàn)查看漏洞詳情。

圖1手動(dòng)檢測(cè)漏洞

2.漏洞修復(fù)與驗(yàn)證，詳細(xì)的操作步驟請(qǐng)參見(jiàn)漏洞修復(fù)與驗(yàn)證。

其他防護(hù)建議

若您暫時(shí)無(wú)法進(jìn)行升級(jí)操作，也可以采用以下方式進(jìn)行防護(hù)：

·方式一：使用以下命令禁用credential helper

git config--unset credential.helper

git config--global--unset credential.helper

git config--system--unset credential.helper

·方式二：提高警惕避免惡意URL

1.使用git clone時(shí)，檢查URL的主機(jī)名和用戶名中是否存在編碼的換行符（%0a）或者憑據(jù)協(xié)議注入的證據(jù)（例如：host=github.com）。

2.避免將子模塊與不受信任的倉(cāng)庫(kù)一起使用（不使用clone--recurse-submodules；只有在檢查.gitmodules中找到url之后，才使用git submodule update）。

3.請(qǐng)勿對(duì)不受信任的URL執(zhí)行g(shù)it clone。