Récemment, Git a publié un bulletin de sécurité annonçant une vulnérabilité qui pourrait révéler les informations d'identification de l'utilisateur Git (CVE-2020-5260).
Git utilise un assistant d'informations d'identification pour aider les utilisateurs à stocker et à récupérer les informations d'identification. Cependant, lorsque l'URL contient des sauts de ligne codés, elle peut injecter des valeurs inattendues dans le flux de protocole de l'assistant d'informations d'identification. Cela entraînera l'URL malveillante à tromper le client Git pour envoyer les informations d'identification de l'hôte à l'attaquant. Cette vulnérabilité sera déclenchée lorsque la version de Git affectée est utilisée pour exécuter la commande git clone sur une URL malveillante.
Version affectée
- Git 2.17.x <= 2.17.3
- Git 2.18.x <= 2.18.2
- Git 2.19.x <= 2.19.3
- Git 2.20.x <= 2.20.2
- Git 2.21.x <= 2.21.1
- Git 2.22.x <= 2.22.2
- Git 2.23.x <= 2.23.1
- Git 2.24.x <= 2.24.1
- Git 2.25.x <= 2.25.2
- Git 2.26.x <= 2.26.0
Version non affectée
- Git 2.17.4
- Git 2.18.3
- Git 2.19.4
- Git 2.20.3
- Git 2.21.2
- Git 2.22.3
- Git 2.23.2
- Git 2.24.2
- Git 2.25.3
- Git 2.26.1
Solution:
Les utilisateurs doivent mettre à niveau vers la version non affectée dès que possible.
