NSFOCUS绿盟科技

安全研究

安全漏洞

Git凭证泄露漏洞(CVE-2020-5260)

发布日期：2020-04-15
更新日期：2020-04-20

受影响系统：

GIT GIT 2.26.x <= 2.26.0
GIT GIT 2.25.x <= 2.25.2
GIT GIT 2.24.x <= 2.24.1
GIT GIT 2.23.x <= 2.23.1
GIT GIT 2.22.x <= 2.22.2
GIT GIT 2.21.x <= 2.21.1
GIT GIT 2.20.x <= 2.20.2
GIT GIT 2.19.x <= 2.19.3
GIT GIT 2.18.x <= 2.18.2
GIT GIT 2.17.x <= 2.17.3

描述：

CVE(CAN) ID: CVE-2020-5260

Git是一套免费、开源的分布式版本控制系统。

Git在实现中存在凭证泄露漏洞，由于Git使用credential helper来帮助用户存储和检索凭证。但是当一个URL中包含经过编码的换行符时，可能将非预期的值注入到credential helper的协议流中。这将使恶意URL欺骗Git客户端去向攻击者发送主机凭据。当使用受影响版本 Git对恶意 URL 执行 git clone 命令时会触发该漏洞。

<*来源：anonymous
*>

建议：

临时解决方法：

如果您不能立刻安装补丁或者升级，NSFOCUS建议您采取以下措施以降低威胁：

禁用credential helper
git   config --unset credential.helper
git   config --global --unset credential.helper
git config --system   --unset credential.helper
提防恶意URL
1、git clone时检查URL的主机名和用户名部分是否存在编码的换行符（%0a）或凭据协议注入的证据（例如host=github.com）
2、避免将子模块与不受信任的仓库一起使用（不要使用 clone --recurse-submodules；只有在检查.gitmodules中找到url之后，才使用git submodule update）。
3、避免对不信任的URL执行 git clone。

厂商补丁：

GIT
---
官方已发布修复了漏洞的新版本，建议受影响用户及时下载更新。
https://github.com/git/git/releases

浏览次数：967
严重程度：0（网友投票）

关于我们: 公司介绍; 公司荣誉; 公司新闻

联系我们: 公司总部; 分支机构; 海外机构

快速链接: 绿盟云; 绿盟威胁情报中心NTI; 技术博客