wakusei-meron-

## git-2.26.1-README.md

      
              1 file
            
          
              0 forks
            
          
              4 comments
            
          
              49 stars
            
          
                azu
                / git-2.26.1-README.md
            
            
              Last active
              January 22, 2022 21:54
            
              
                Gitの認証情報を奪い取れるGit 2.26.0以下にある脆弱性について
              
          
    Git 2.26.0以下にある脆弱性

Git 2.26.0以下^＊1には、細工したリポジトリをgit cloneしたときに、
そのユーザーのCredential(たとえばGitHub.comをcloneするときに使う認証情報)を奪い取れる脆弱性があります。
📝 取得できる認証情報は credential.helper の設定に依存する
既にPoC(検証するためのコード)もあり、結構簡単なので是非Gitを2.26.1以上にアップデートしましょう。
git submoduleを使うと見た目ではわかりにくい攻撃もできるので、「気をつける」では回避は難しいです。

  
## aws-iam-user-key-rotation.sh
#!/bin/bash -euo pipefail
#
# Usage:
#   $ aws-iam-user-key-rotation.sh [profile] [credential_file]
#

declare -x AWS_DEFAULT_PROFILE=${1:-default}
declare credential_file=${2:-~/.aws/credentials}
declare -x AWS_SHARED_CREDENTIALS_FILE=$credential_file
	#!/bin/bash -euo pipefail
	#
	# Usage:
	# $ aws-iam-user-key-rotation.sh [profile] [credential_file]
	#

	declare -x AWS_DEFAULT_PROFILE=${1:-default}
	declare credential_file=${2:-~/.aws/credentials}
	declare -x AWS_SHARED_CREDENTIALS_FILE=$credential_file