RHSA-2020:2337-重要: git 安全更新 解决方法
最近收到一条有关该服务器存在漏洞的通知,提示:RHSA-2020:2337-重要: git 安全更新。 接下来,小编将向您介绍git 安全更新的解决方案。 有需要的朋友可以参考参考:
1、漏洞提示:
RHSA-2020:2337-重要: git 安全更新
2、漏洞描述:
受影响的Git版本具有一个漏洞,可以诱骗Git向攻击者控制的主机发送私有凭据。此错误类似于CVE-2020-5260(GHSA-qm7j-c969-7j4q)。该错误的修复仍为_some_凭据泄漏的漏洞利用打开了大门(但攻击者无法控制哪一个)。 Git使用外部“凭据帮助程序”来存储和检索操作系统提供的安全存储中的密码或其他凭据。从最近发布的Git版本开始,被视为非法的特制URL可能导致Git向助手发送“空白”模式,缺少主机名和协议字段。许多助手会将其解释为匹配的_any_ URL,并将返回一些未指定的存储密码,从而将密码泄露给攻击者的服务器。可以通过向“ git clone”提供恶意URL来触发该漏洞。但是,受影响的URL看起来可疑。可能的媒介是通过自动克隆用户不可见的URL的系统(例如Git子模块)或围绕Git构建的打包系统。问题的根源在于Git本身,它不应将空白输入提供给助手。但是,实际上,利用此漏洞的能力取决于所使用的助手。已知触发漏洞的凭据帮助程序:-Git的“存储”帮助程序-Git的“缓存”帮助程序-Git的“ contrib”目录中随附的“ osxkeychain”帮助程序:-适用于Windows的Git Credential Manager,应假定未在此列表中的任何帮助程序触发该漏洞。
3、影响说明:
软件:git 1.8.3.1-21.el7_7
命中:git version less than 0:1.8.3.1-23.el7_8
路径:/etc/bash_completion.d
命中:git version less than 0:1.8.3.1-23.el7_8
路径:/etc/bash_completion.d
软件:perl-Git 1.8.3.1-21.el7_7
命中:perl-Git version less than 0:1.8.3.1-23.el7_8
路径:/usr/share/man/man3/Git.3pm.gz
4、解决方法:
yum update git