Code-Verwaltung: Windows-Eigenheiten verursachen Lücken in Git

Ein bösartiges Git-Repository kann von Angreifern unter Umständen dazu genutzt werden, Code auf Client-Rechnern auszuführen. Diese und einige weitere Lücken sind auf Eigenheiten von Windows zurückzuführen und von Microsoft gefunden worden.

Artikel veröffentlicht am ,
Microsoft hat einige spezielle Fehler in Git gefunden.
Microsoft hat einige spezielle Fehler in Git gefunden. (Bild: VESA MOILANEN/AFP via Getty Images)

Das Open-Source-Projekt Git hat eine Reihe von Sicherheitslücken in seiner Software zur Versionskontrollverwaltung behoben. Die Lücken wurden laut der Mitteilung allesamt von Microsofts Security Response Center (MSRC) gefunden und anschließend durch das Git-Team mit Updates für die aktuell unterstützten Versionen behoben.

Stellenmarkt
  1. DevOps Engineer / Linux System Administrator als Deployment Accelerator (m/w/d)
    Helios IT Service GmbH, Berlin-Buch, deutschlandweit
  2. Project Manager (m/w/d) Electronic Data Interchange/EDI
    ALDI International Services SE & Co. oHG, Mülheim
Detailsuche

Die wohl schwerwiegendste der Lücken (CVE-2019-1350) ermöglicht unter bestimmten Umständen das Ausführen von Code auf den Rechnern mit Git als Client. Dafür müssten Angreifer die Submodule-URL eines Repositorys derart manipulieren, dass dort auf bestimmte Art und Weise Kommandos versteckt werden, wie etwa SSH. Zusätzlich dazu müssten die Git-Nutzer für einen erfolgreichen Angriff auch noch dazu gebracht werden, das derart manipulierte Repository zu klonen. Die Gefahr eines Angriffs ist also vergleichsweise gering.

Lücken wegen Windows-Eigenheiten

Interessant an dieser und den weiteren Sicherheitslücken ist jedoch, dass sie alle auf bestimmte Spezifika das Windows-Betriebssystems zurückzuführen sind, die sich so auf Linux und weiteren Unix-artigen Systemen nicht finden. Dazu gehören etwa Zeichen wie das Backslash, das in Windows zur Trennung in Pfadangaben genutzt wird, in Unix-artigen Systemen aber als Zeichen in Dateinamen erlaubt ist.

Zwar unterstützt Git einige dieser Eigenarten schon länger, aber offenbar nicht alle. So kann eine der weiteren Lücken (CVE-2019-1351) ausgenutzt werden, um Schreibzugriff außerhalb des eigentlichen Arbeitsverzeichnisses zu erlangen, da Windows-Pfade eben nicht wie bisher angenommen nur ASCII-Zeichen für Laufwerksnamen erlauben, sondern auch Unicode-Zeichen. Der Pfad ä:\tschibät.sch ist unter Umständen also auch gültig.

Golem Akademie
  1. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    8.–11. März 2022, Virtuell
  2. Jira für Anwender: virtueller Ein-Tages-Workshop
    4. Februar 2022, virtuell
Weitere IT-Trainings

Dem Werkzeug Git fehlten bisher außerdem Informationen über Spezifika von NTFS, was zum Überschreiben von Daten führen konnte, und beim Ausführen von Git im Windows-Subsystem für Linux (WSL) waren die NTFS-Schutzmechanismen nicht aktiviert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft
Sony äußert sich zur Übernahme von Activision Blizzard

Rund 20 Milliarden US-Dollar haben die Aktien von Sony verloren. Nun hat der Konzern erstmals den Kauf von Activision Blizzard kommentiert.

Microsoft: Sony äußert sich zur Übernahme von Activision Blizzard
Artikel
  1. Jochen Homann: Der Regulierer, der nicht regulieren wollte
    Jochen Homann
    Der Regulierer, der nicht regulieren wollte

    Der grüne Verbraucherschützer Klaus Müller kommt, Jochen Homann geht. Eigentlich kann es in der Bundesnetzagentur nur besser werden.
    Ein IMHO von Achim Sawall

  2. Sicherheitslücken identifizieren und ausmerzen
     
    Sicherheitslücken identifizieren und ausmerzen

    Cyberattacken sind für viele Unternehmen ein Risikofaktor. Wie sich Sicherheitslücken finden und Systeme schützen lassen, erläutern drei Online-Workshops der Golem Akademie.
    Sponsored Post von Golem Akademie

  3. Parallel Systems: Ehemalige SpaceX-Mitarbeiter entwickeln neuartige Güterzüge
    Parallel Systems
    Ehemalige SpaceX-Mitarbeiter entwickeln neuartige Güterzüge

    Das Startup Parallel Systems will konventionelle Züge durch modulare Fahrzeuge mit eigenem Antrieb und Energieversorgung ersetzen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED (2021) 40% günstiger (u.a. 65" 1.599€) • WD Black 1TB SSD 94,90€ • Lenovo Laptops (u.a. 17,3" RTX3080 1.599€) • Gigabyte Mainboard 299,82€ • RTX 3090 2.399€ • RTX 3060 Ti 799€ • MindStar (u.a. 32GB DDR5-6000 389€) • Alternate (u.a. Samsung LED TV 50" 549€) [Werbung]
    •  /