Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Code-Verwaltung: Windows-Eigenheiten verursachen Lücken in Git

Ein bösartiges Git -Repository kann von Angreifern unter Umständen dazu genutzt werden, Code auf Client-Rechnern auszuführen. Diese und einige weitere Lücken sind auf Eigenheiten von Windows zurückzuführen und von Microsoft gefunden worden.
/ Sebastian Grüner
2 Kommentare News folgen (öffnet im neuen Fenster)
Microsoft hat einige spezielle Fehler in Git gefunden. (Bild: VESA MOILANEN/AFP via Getty Images)
Microsoft hat einige spezielle Fehler in Git gefunden. Bild: VESA MOILANEN/AFP via Getty Images

Das Open-Source-Projekt Git hat eine Reihe von Sicherheitslücken in seiner Software zur Versionskontrollverwaltung behoben. Die Lücken wurden laut der Mitteilung(öffnet im neuen Fenster) allesamt von Microsofts Security Response Center (MSRC) gefunden und anschließend durch das Git-Team mit Updates für die aktuell unterstützten Versionen behoben.

Die wohl schwerwiegendste der Lücken (CVE-2019-1350) ermöglicht unter bestimmten Umständen das Ausführen von Code auf den Rechnern mit Git als Client. Dafür müssten Angreifer die Submodule-URL eines Repositorys derart manipulieren(öffnet im neuen Fenster) , dass dort auf bestimmte Art und Weise Kommandos versteckt werden, wie etwa SSH. Zusätzlich dazu müssten die Git-Nutzer für einen erfolgreichen Angriff auch noch dazu gebracht werden, das derart manipulierte Repository zu klonen. Die Gefahr eines Angriffs ist also vergleichsweise gering.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
IT Business Partner (d/w/m) Industrie- und Handelsunion Dr. Wolfgang Boettger GmbH & Co. KG, Berlin,Homeoffice (öffnet im neuen Fenster)
Team Lead Analytics (m/w/d) KMH GmbH, Köln (öffnet im neuen Fenster)
IT-Systemadministrator (w/m/d) IEA Hamburg, Hamburg (öffnet im neuen Fenster)
Expertin oder Experte für Plausibilisierung und Imputation (w/m/d) im Referat »Künstliche Intelligenz und Imputation« (C13) Statistisches Bundesamt, Wiesbaden,Bonn (öffnet im neuen Fenster)
IT-Anwendungsbetreuer:in (all genders) für Bilddatensysteme Universitätsklinikum Hamburg-Eppendorf, Hamburg (öffnet im neuen Fenster)
Projekt Manager:in Digitalisierung (m/w/d) Bereich Operations Railpool GmbH, Gräfelfing bei München,München (öffnet im neuen Fenster)
Head of Software Projects (m/w/d) Körber Pharma Inspection GmbH, Markt Schwaben (öffnet im neuen Fenster)
Referent Payment Solutions (m/w/d) Evangelische Bank eG, Berlin (öffnet im neuen Fenster)

Lücken wegen Windows-Eigenheiten

Interessant an dieser und den weiteren Sicherheitslücken ist jedoch, dass sie alle auf bestimmte Spezifika das Windows-Betriebssystems zurückzuführen sind, die sich so auf Linux und weiteren Unix-artigen Systemen nicht finden. Dazu gehören etwa Zeichen wie das Backslash, das in Windows zur Trennung in Pfadangaben genutzt wird, in Unix-artigen Systemen aber als Zeichen in Dateinamen erlaubt ist.

Zwar unterstützt Git einige dieser Eigenarten schon länger, aber offenbar nicht alle. So kann eine der weiteren Lücken (CVE-2019-1351) ausgenutzt werden, um Schreibzugriff außerhalb des eigentlichen Arbeitsverzeichnisses zu erlangen, da Windows-Pfade eben nicht wie bisher angenommen nur ASCII-Zeichen für Laufwerksnamen erlauben, sondern auch Unicode-Zeichen. Der Pfad ä:\tschibät.sch ist unter Umständen also auch gültig.

Dem Werkzeug Git fehlten bisher außerdem Informationen über Spezifika von NTFS, was zum Überschreiben von Daten führen konnte, und beim Ausführen von Git im Windows-Subsystem für Linux (WSL) waren die NTFS-Schutzmechanismen nicht aktiviert.

Zur Startseite 2 Kommentare

Relevante Themen

Open SourceSoftwareUnternehmenssoftwareSoftwareentwicklungSecuritySicherheitslückeWissenWirtschaft