Code-Verwaltung: Windows-Eigenheiten verursachen Lücken in Git

Ein bösartiges Git-Repository kann von Angreifern unter Umständen dazu genutzt werden, Code auf Client-Rechnern auszuführen. Diese und einige weitere Lücken sind auf Eigenheiten von Windows zurückzuführen und von Microsoft gefunden worden.

Artikel veröffentlicht am ,
Microsoft hat einige spezielle Fehler in Git gefunden.
Microsoft hat einige spezielle Fehler in Git gefunden. (Bild: VESA MOILANEN/AFP via Getty Images)

Das Open-Source-Projekt Git hat eine Reihe von Sicherheitslücken in seiner Software zur Versionskontrollverwaltung behoben. Die Lücken wurden laut der Mitteilung allesamt von Microsofts Security Response Center (MSRC) gefunden und anschließend durch das Git-Team mit Updates für die aktuell unterstützten Versionen behoben.

Stellenmarkt
  1. (Wirtschafts-) Informatiker (m/w/d) Schwerpunkt Entwicklung
    Westfalen Medical GmbH, Siegen, Bochum
  2. Fachinformatiker/in als IT-Administrator/in von IT-Infrastruktur (m/w/d)
    Ruhrverband, Essen
Detailsuche

Die wohl schwerwiegendste der Lücken (CVE-2019-1350) ermöglicht unter bestimmten Umständen das Ausführen von Code auf den Rechnern mit Git als Client. Dafür müssten Angreifer die Submodule-URL eines Repositorys derart manipulieren, dass dort auf bestimmte Art und Weise Kommandos versteckt werden, wie etwa SSH. Zusätzlich dazu müssten die Git-Nutzer für einen erfolgreichen Angriff auch noch dazu gebracht werden, das derart manipulierte Repository zu klonen. Die Gefahr eines Angriffs ist also vergleichsweise gering.

Lücken wegen Windows-Eigenheiten

Interessant an dieser und den weiteren Sicherheitslücken ist jedoch, dass sie alle auf bestimmte Spezifika das Windows-Betriebssystems zurückzuführen sind, die sich so auf Linux und weiteren Unix-artigen Systemen nicht finden. Dazu gehören etwa Zeichen wie das Backslash, das in Windows zur Trennung in Pfadangaben genutzt wird, in Unix-artigen Systemen aber als Zeichen in Dateinamen erlaubt ist.

Zwar unterstützt Git einige dieser Eigenarten schon länger, aber offenbar nicht alle. So kann eine der weiteren Lücken (CVE-2019-1351) ausgenutzt werden, um Schreibzugriff außerhalb des eigentlichen Arbeitsverzeichnisses zu erlangen, da Windows-Pfade eben nicht wie bisher angenommen nur ASCII-Zeichen für Laufwerksnamen erlauben, sondern auch Unicode-Zeichen. Der Pfad ä:\tschibät.sch ist unter Umständen also auch gültig.

Golem Karrierewelt
  1. Git Grundlagen: virtueller Zwei-Tage-Workshop
    20./21.03.2023, Virtuell
  2. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    13.-15.03.2023, Virtuell
Weitere IT-Trainings

Dem Werkzeug Git fehlten bisher außerdem Informationen über Spezifika von NTFS, was zum Überschreiben von Daten führen konnte, und beim Ausführen von Git im Windows-Subsystem für Linux (WSL) waren die NTFS-Schutzmechanismen nicht aktiviert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Telekom-Internet-Booster
Hybridzugang für über 600 MBit/s inhouse kommt

Der Hybridzugang, bei dem der Router die Datenrate aus Festnetz und 5G-Mobilfunknetz aggregiert, wurde schon lange erwartet. Jetzt liefert die Telekom.

Telekom-Internet-Booster: Hybridzugang für über 600 MBit/s inhouse kommt
Artikel
  1. Luftfahrt: Boeing zeigt Konzept eines Tarnkappen-Transportflugzeugs
    Luftfahrt
    Boeing zeigt Konzept eines Tarnkappen-Transportflugzeugs

    Um weniger angreifbar zu sein, sollen militärische Transportflugzeuge künftig mit Tarnkappentechnik ausgestattet werden, wie Boeing zeigt.

  2. Quartalsbericht: IBM streicht 3.900 Stellen
    Quartalsbericht
    IBM streicht 3.900 Stellen

    Auch nach der Ausgründung sind die Techies bei Kyndryl nicht vor einem Stellenabbau sicher. IBM macht es wie die übrige Techbranche.

  3. Pinecil im Test: Ein toller Lötkolben mit RISC-V-Prozessor
    Pinecil im Test
    Ein toller Lötkolben mit RISC-V-Prozessor

    Günstig, leistungsstark und Open Source: Das macht den Lötkolben Pinecil interessant und er überzeugt im Test - auch im Vergleich mit einer JBC-Lötstation.
    Ein Test von Johannes Hiltscher

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • RAM & Grakas im Preisrutsch • PS5 ab Lager bei Amazon • MindStar: MSI RTX 4090 1.899€, Sapphire RX 7900 XT 949€ • WSV: Bis -70% bei Media Markt • Gaming-Stühle Razer & HP bis -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€ • Razer bis -60% [Werbung]
    •  /