urlmatch.[ch]: add and use URLMATCH_CONFIG_INIT
[git/debian.git] / Documentation / RelNotes / 2.17.5.txt
blob2abb821a73978e9d1412bdfdd929e525f8bf4231
1 Git v2.17.5 Release Notes
2 =========================
4 This release is to address a security issue: CVE-2020-11008
6 Fixes since v2.17.4
7 -------------------
9  * With a crafted URL that contains a newline or empty host, or lacks
10    a scheme, the credential helper machinery can be fooled into
11    providing credential information that is not appropriate for the
12    protocol in use and host being contacted.
14    Unlike the vulnerability CVE-2020-5260 fixed in v2.17.4, the
15    credentials are not for a host of the attacker's choosing; instead,
16    they are for some unspecified host (based on how the configured
17    credential helper handles an absent "host" parameter).
19    The attack has been made impossible by refusing to work with
20    under-specified credential patterns.
22 Credit for finding the vulnerability goes to Carlo Arenas.