【漏洞通告】Git憑證洩露漏洞（CVE-2020-5260）通告

通告編号:NS-2020-0028

2020-04-16

TAG：	Git、憑證洩露、CVE-2020-5260
漏洞危害：	攻擊者利用此漏洞，可擷取Git使用者憑據。
版本：	1.0

漏洞概述

4月15日，Git釋出安全通告公布了一個導緻Git使用者憑證洩露的漏洞（CVE-2020-5260）。Git使用憑證助手(credential helper)來幫助使用者存儲和檢索憑證。當URL中包含經過編碼的換行符（%0a）時，可能将非預期的值注入到credential helper的協定流中。受影響版本 Git對惡意 URL 執行 git clone 指令時會觸發此漏洞，攻擊者可利用惡意URL欺騙Git用戶端發送主機憑據。請相關使用者采取措施進行防護。

參考連結：

https://github.com/git/git/security/advisories/GHSA-qm7j-c969-7j4q

SEE MORE →

2影響範圍

受影響版本

Git 2.17.x <= 2.17.3
Git 2.18.x <= 2.18.2
Git 2.19.x <= 2.19.3
Git 2.20.x <= 2.20.2
Git 2.21.x <= 2.21.1
Git 2.22.x <= 2.22.2
Git 2.23.x <= 2.23.1
Git 2.24.x <= 2.24.1
Git 2.25.x <= 2.25.2
Git 2.26.x <= 2.26.0

不受影響版本

Git 2.17.4
Git 2.18.3
Git 2.19.4
Git 2.20.3
Git 2.21.2
Git 2.22.3
Git 2.23.2
Git 2.24.2
Git 2.25.3
Git 2.26.1

3漏洞檢測

3.1 版本檢測

相關使用者可通過版本檢測的方式判斷目前應用是否存在風險。

使用如下指令可檢視目前Git的版本：

git --version

若目前使用版本在受影響範圍内，則可能存在安全風險。

4漏洞防護

4.1 官方更新

目前官方已在最新版本中修複了該漏洞，請受影響的使用者盡快更新版本進行防護，官方下載下傳連結：https://github.com/git/git/releases

可使用如下指令進行安裝更新（以2.23.2為例）：

wget https://github.com/git/git/archive/v2.23.2.tar.gztar zxvf v2.23.2.tar.gzcd git-2.23.2make configure./configure --prefix=/usr/local/git --with-iconv=/usr/local/libiconvmake all docmake install install-doc install-htmlecho "export PATH=$PATH:/usr/local/git/bin:/usr/local/git/libexec/git-core" >> /etc/bashrc

4.2 其他防護措施

若相關使用者暫時無法進行更新操作，也可采用以下措施進行防護：

方法一：使用以下指令禁用credential helper

git config --unset credential.helpergit config --global --unset credential.helpergit config --system --unset credential.helper

方法二：提高警惕避免惡意URL

1、git clone時檢查URL的主機名和使用者名部分是否存在編碼的換行符（%0a）或憑據協定注入的證據（例如host=github.com）。

2、避免将子子產品與不受信任的倉庫一起使用（不要使用clone --recurse-submodules；隻有在檢查.gitmodules中找到url之後，才使用git submodule update）。

3、請勿對不信任的URL執行git clone。

END

作者：綠盟科技威脅對抗能力部

聲明

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。由于傳播、利用此安全公告所提供的資訊而造成的任何直接或者間接的後果及損失，均由使用者本人負責，綠盟科技以及安全公告作者不為此承擔任何責任。

綠盟科技安全情報 ∣微信公衆