NewStart CGSL CORE 5.04 / MAIN 5.04：git 多个漏洞 (NS-SA-2020-0075)

high Nessus 插件 ID 143893

语言：

简介

远程机器受到多个漏洞影响。

描述

运行 CORE 5.04/MAIN 5.04 版本的远程 NewStart CGSL 主机上安装的 git 程序包受到多个漏洞的影响：

- 受影响的 Git 版本中存在漏洞，可诱骗 Git 向攻击者控制的主机发送私有凭据。此错误与 CVE-2020-5260 (GHSA-qm7j-c969-7j4q) 类似。修复此错误时，为 _some_ 凭据的泄漏（但攻击者无法控制是哪一个）而遭到利用留下可趁之机。Git 使用外部“凭据帮助程序”来存储和检索操作系统提供的安全存储中的密码或其他凭据。从最近发布的 Git 版本开始，被视为非法的特别构建 URL 可使 Git 向帮助程序发送“空白”模式，进而造成主机名和协议字段缺失。许多帮助程序会将此解释为与 _any_ URL 匹配，并会返回某个不明存储密码，从而将密码泄露给攻击者的服务器。此漏洞可通过向“git clone”馈送恶意 URL 触发。但是，受影响的 URL 看起来相当可疑；可能的途径是会自动克隆对用户不可见的 URL 的系统（例如 Git 子模块），或是围绕 Git 构建的程序包系统。问题的根源在 Git 自身，其不应该向帮助程序馈送空白输入。不过，实际利用此漏洞的能力如何取决于使用的是哪个帮助程序。已知会触发此漏洞的凭据帮助程序：- Git 的“存储”帮助程序 - Git 的“缓存”帮助程序 - Git 的“contrib”目录“凭据”帮助程序（已知即使在存在漏洞的 Git 版本中也安全）中随附的“osxkeychain”帮助程序：- Git Credential Manager for Windows 应假定不在此列表中的任何帮助程序触发漏洞。(CVE-2020-11008)

- 受影响的 Git 版本中存在漏洞，可诱骗 Git 向攻击者控制的主机发送私有凭据。Git 使用外部“凭据帮助程序”来存储和检索操作系统提供的安全存储中的密码或其他凭据。包含已编码换行符的特别构建的 URL 可将非预期值注入凭据帮助程序协议流，使凭据帮助程序返回将包含在发送给一台服务器（例如，evil.example.com）的 HTTP 请求中的另一台服务器（例如，good.example.com）的密码，从而导致后者的凭据被发送给前者。两者之间的关系不存在任何限制，这表示攻击者可构建一个将任何主机的已存储凭据提供给其所选主机的 URL。此漏洞可通过向“git clone”馈送恶意 URL 触发。但是，受影响的 URL 看起来相当可疑；可能的途径是会自动克隆对用户不可见的 URL 的系统（例如 Git 子模块），或是围绕 Git 构建的程序包系统。已在 v2.17.x 到 2020 年 4 月 14 日发布的版本中修补此问题。想要进一步向后移植此更改的任何人都可以通过应用提交 9a6bbee（完整版本包含针对 git fsck 的额外检查，但该提交足以保护客户端不受此漏洞的影响）来实现该操作。已修补的版本包括：2.17.4、2.18.3、2.19.4、2.20.3、2.21.2、2.22.3、2.23.2、2.24.2、2.25.3、2.26.1。
(CVE-2020-5260)

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号。