• IT-Karriere:
  • Services:

Security: Schwere Sicherheitslücke im Git-Client

Eine schwere Sicherheitslücke im Git-Client für Windows und Mac OS X macht Rechner von außen angreifbar. Es gibt bereits Aktualisierungen, die schnellstmöglich eingespielt werden sollten.

Artikel veröffentlicht am ,
Git-Clients für Windows und Mac OS X enthalten einen schwerwiegende Fehler und sollten möglichst bald aktualisiert werden.
Git-Clients für Windows und Mac OS X enthalten einen schwerwiegende Fehler und sollten möglichst bald aktualisiert werden. (Bild: Github)

Entwickler sollten ihren Git-Client schnellstmöglich aktualisieren. In den Versionen für Windows und Mac OS X befindet sich ein Fehler, der schlimmstenfalls zur Übernahme des Rechners führen kann. Die Linux-Version ist davon nicht betroffen. Um den Fehler auszunutzen, muss aber manipulierter Code in Projekten auf Github eingeschleust werden.

Stellenmarkt
  1. LORENZ Life Sciences Group, Frankfurt am Main
  2. Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), Bonn

Wie das Github-Team mitteilte, führt ein speziell präparierter Git-Tree auf groß- und kleinschreibungsunabhängigen Dateisystemen wie Microsofts NTFS sowie FAT oder Apples HFS+ dazu, dass entsprechende Git-Clients ihre eigenen Konfigurationsdateien beim Abgleichen des Codes aus einem Git-Repository überschreiben. Dann können beliebige Befehle ausgeführt werden.

Inzwischen wurde die zentrale Code-Verwaltung auf github.com aber so angepasst, dass entsprechend manipulierter Code nicht mehr hochgeladen werden kann. Außerdem wurde geprüft, ob solcher Code dort bereits hochgeladen wurde, bevor die Schwachstelle entdeckt wurde. Ob die Entwickler fündig geworden sind, geht aus der Mitteilung nicht hervor. Sie warnen jedoch, dass manipulierter Code möglicherweise auf anderen Git-Repositories bereitgestellt wurde, die solche Verifizierungen noch nicht umgesetzt haben.

In den Updates für Windows und Mac OS X wurde sowohl die grafische als auch die Kommandozeilenversion aktualisiert. Das Git-Core-Team hat ebenfalls Updates bereitgestellt. In den Versionen 1.8.5.6, 1.9.5, 2.0.5, 2.1.4 und 2.2.1 ist der Fehler behoben. Von MSysGit für Windows gibt es auch die neue Version 1.9.5. Außerdem haben die Git-Entwickler die Bibliotheken Libgit2 und JGit für Eclipse repariert. Git-Software von Drittanbietern, die diese Bibliotheken verwenden, sollte ebenfalls aktualisiert werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Lenovo G27c-10 27 Zoll Full-HD Gaming Monitor FreeSync 165 Hz für 213,48€, JBL Flip 5...
  2. (u. a. Frontier Developments Halloween Angebote (u. a. Struggling für 8,99€, Jurassic World...
  3. 19,20€ (Bestpreis!)
  4. (u. a. Cooler Master Hyper TX3 Evo CPU-Kühler für 19,99€, Cooler Master Masterair MA621P TR4...

mingobongo 21. Dez 2014

Mit Windows 10 wird alles anders, da gibt es wahrscheinlich keine Laufwerks-Buchstaben...

fx5 20. Dez 2014

Du kannst zum Beispiel ".g\u200cit" nehmen um in das Verzeichnis ".git" zu schreiben. Das...

derats 19. Dez 2014

Klar ist es eine Sicherheitslücke, die gepatcht werden muss (und auch wurde), aber so...


Folgen Sie uns
       


Vivo X51 im Test: Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera
Vivo X51 im Test
Vivos gelungener Deutschland-Start hat eine Gimbal-Kamera

Das Vivo X51 hat eine gute Kamera mit starker Bildstabilisierung und eine vorbildlich zurückhaltende Android-Oberfläche. Der Startpreis in Deutschland könnte aber eine Herausforderung für den Hersteller sein.
Ein Test von Tobias Költzsch

  1. Software-Entwicklung Google veröffentlicht Android Studio 4.1
  2. Jetpack Compose Android bekommt neues UI-Framework
  3. Google Android bekommt lokale Sharing-Funktion

CalyxOS im Test: Ein komfortables Android mit einer Extraportion Privacy
CalyxOS im Test
Ein komfortables Android mit einer Extraportion Privacy

Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel

  1. Alternatives Android im Test /e/ will Google ersetzen

Big Blue Button: Das große blaue Sicherheitsrisiko
Big Blue Button
Das große blaue Sicherheitsrisiko

Kritische Sicherheitslücken, die Golem.de dem Entwickler der Videochat-Software Big Blue Button meldete, sind erst nach Monaten geschlossen worden.
Eine Recherche von Hanno Böck


      •  /