Git lança atualização de segurança com novo caractere, criando um possível vazamento de credenciais

Git 2.30 lançado com a nova nomenclatura "Main"
git

O Git 2.26.1, juntamente com os novos lançamentos pontuais do Git 2.17, foram emitidos na última terça-feira como resultado de um problema de segurança. Assim, o Git lança atualização de segurança com novo caractere, criando um possível vazamento de credenciais. Um membro da equipe do Project Zero do Google descobriu que uma URL especialmente criada poderia induzir o cliente Git a enviar informações de credenciais de um host alternativo ao host de um invasor.

Nesse caso, a URL especialmente criada precisa conter apenas o chamado newline characters (caractere de controle de fim de linha) para enganar o manuseio de credenciais nas versões existentes do Git e potencialmente enviar os dados para um host alternativo.

Git lança atualização de segurança com novo caractere, criando um possível vazamento de credenciais

Git lança atualização de segurança com novo caractere, criando um possível vazamento de credenciais

Com as atualizações de emergência atuais do Git, o código do protocolo de credenciais agora está proibindo com razão os newline characters em qualquer valor.

Esse problema de credencial do Git foi rastreado como CVE-2020-5260. Então atualize o Git para evitar essa divulgação maliciosa em potencial das credenciais de usuário do servidor Git.

O projeto Git está lançando as seguintes versões do Git: v2.26.1, v2.25.3, v2.24.2, v2.23.2, v2.22.3, v2.21.2, v2.20.3, v2.19.4, v2.18.3 e v2.17.4

Essas versões abordam o problema de segurança CVE-2020-5260, que permitiu que um URL criado enganasse um cliente Git para enviar credenciais informações para um host errado no site do invasor. Crédito para encontrar a vulnerabilidade vai para Felix Wilhelm, do Google Project Zero, e o crédito para corrigi-lo vai para Jeff King, do GitHub. Os usuários das faixas de manutenção afetadas são convidados a atualizar.

Os tarballs são encontrados em: https://www.kernel.org/pub/software/scm/git/

A versão “Git 2.26”  foi lançada no final de março vem com alguns novos recursos, suportes experimentais e, acima de tudo, otimizações. Para aqueles que não estão familiarizados com o Git, devem saber que é um dos sistemas mais populares, confiáveis e de alto desempenho. Então, ele fornece ferramentas de desenvolvimento flexíveis e não lineares baseadas na fusão de ramificações.