时间:2021-07-15 | 标签: | 作者:Q8 | 来源:华为云网络
小提示:您能找到这篇{华为云HSS:Git用户凭证泄露漏洞}绝对不是偶然,我们能帮您找到潜在客户,解决您的困扰。如果您对本页介绍的华为云HSS:Git用户凭证泄露漏洞内容感兴趣,有相关需求意向欢迎拨打我们的服务热线,或留言咨询,我们将第一时间联系您! |
2020年4月15日,Git发布安全通告公布了一个导致Git用户凭证泄露的漏洞(CVE-2020-5260)。Git使用凭证助手(credential helper)来帮助用户存储和检索凭证。 当URL中包含经过编码的换行符(%0a)时,可能将非预期的值注入到credential helper的协议流中。受影响Git版本对恶意URL执行git clone命令时,会触发此漏洞,攻击者可利用恶意URL欺骗Git客户端发送主机凭据。 漏洞编号 CVE-2020-5260 漏洞名称 Git用户凭证泄露漏洞 影响范围 影响版本 Git 2.17.x<=2.17.3 Git 2.18.x<=2.18.2 Git 2.19.x<=2.19.3 Git 2.20.x<=2.20.2 Git 2.21.x<=2.21.1 Git 2.22.x<=2.22.2 Git 2.2做电商运营的3.x<=2.23.1 Git 2.24.x<=2.24.1 Git 2.25.x<=2.25.2 Git 2.26.x<=2.26.0 安全版本 Git 2.17.4 Git 2.18.3 Git 2.19.4 Git 2.20.3 Git 2.21.2 Git 2.22.3 Git 2.23.2 Git 2.24.2 Git 2.25.3 Git 2.26.1 官网解决方案 目前官方已在最新版本中修复了该漏洞,请受影响的用户有线营销策划及时升级到安全版本。 官方下载链接:https://github.com/git/git/releases 检测与修复建议 华为云企业主机安全服务对该漏洞的便捷检测与修复。 1.检测并查看漏洞详情,如图1所示,详细的操作步骤请参见查看漏洞详情。 图1手动检测漏洞 2.漏洞修复与验证,详细的操作步骤请参见漏洞修复与验证。 其他防护建议 若您暂时无法进行升级操作,也可以采用以下方式进行防护: 方式一:使用以下命令禁用credential helper git config--unset credential.helper git config--global--unset credential.helper git config--system--unset credential.helper 方式二:提高警惕避免恶意URL 1.使用git clone时,检查URL的主机名和用户名中是否存在编码的换行符(%0a)或者凭据协议注入的证据(例如:host=github.com)。 2.避免将子模块与不受信任的仓库一起使用(不使用clone--recurse-submodules;只有在检查.gitmodules中找到url之后,才使用git submodule update)。 3.请勿对不受信任的URL执行git clone。 |
上一篇:华为云HSS:SaltStack远程命令执行漏洞
下一篇:静态数据的 Azure 存储加密
基于对传统行业渠道的理解,对互联网行业的渠道我们可以下这样一个定义:一切...
小米应用商店的后台操作和苹果是比较相似的,因为都能填写100字符关键词,允许...
小米的规则目前是在变更中的,但是根据经验小米的搜索排名评分的高低是个很重...
为了恰饭,有时候是要接入一些广告的,所以FB也专门有一个广告的SDK,这就是A...
在 2018 年于旧金山举行的游戏开发者大会上,Amazon Web Services (AWS) 曾宣布,目前世...
关于Facebook Audience Network如何收款的问题,其实官方已经给了详细的步骤。本文主要...
本文介绍了Audience Network对广告载体的质量检查,以及它重点广告形式需要注意的问...
随着iOS开发,作为开发者或公司需要针对iOS App开发涉及的方方面面作出对应的信息...
Facebook和谷歌对出海企业广告渠道都很熟悉,但事实上,在国外还有一些渠道也很...
卖家从做号的第1分钟开始,就一定要想好变现路径是什么?一定要以变现为目的去...
小提示:您应该对本页介绍的“华为云HSS:Git用户凭证泄露漏洞”相关内容感兴趣,若您有相关需求欢迎拨打我们的服务热线或留言咨询,我们尽快与您联系沟通华为云HSS:Git用户凭证泄露漏洞的相关事宜。
关键词:华为云HSS:Git用户凭证泄