Sicherheit: Git gibt Sicherheitslücken bekannt und veröffentlicht Patch
Git hat zwei Sicherheitslücken bekannt gegeben und gleich auch einen Patch bereitgestellt, der diese stopft: Update dringend empfohlen.

Insbesondere die Nutzer von Git für Windows und Git-Anwender auf Multiusermaschinen sollten schnellstmöglich die Installation der Software auf den neuesten Stand bringen und den zur Verfügung gestellten Patch ausführen. Die beiden geschlossenen Sicherheitslücken betreffen laut dem Github-Blog das Ausführen von Git sowie das Uninstall für Windows.
Einfach nur Git nicht selbst aufzurufen, hilft nur bedingt. Eine Menge Programme nutzen Git im Hintergrund: Git Bash, posh-git und Visual Studio werden von Git selbst genannt, daneben gibt es aber sicher noch andere Programme.
Github ist aber trotz des Namens nicht betroffen - es benutzt weder Git für Windows, noch führt es Git außerhalb von bekannten Repositories aus.
Erste Lücke: Ausführen von Befehlen
Die erste der beiden Lücken (CVE-2022-24765) kann es Angreifern ermöglichen, beliebige Befehle ausführen zu lassen. Dazu genügt es, an geeigneter Stelle ein .git-Directory mit einer entsprechenden Konfigurationsdatei in einem Ordner überhalb des Arbeitsverzeichnisses des git-Nutzers anzulegen.
Als Beispiel wird eine Datei in C:\.git\config genannt. In dieser config-Datei kann durch Verwendung von Konfigurationsvariablen (wie zum Beispiel core.fsmonitor) Git angewiesen werden, beliebige Befehle auszuführen, sobald der eigentliche Nutzer es verwendet. Git sucht in den übergeordneten Ordnern nach globaleren Konfigurationen, damit Nutzer nicht in jedem Verzeichnis alles neu konfigurieren müssen.
Die zweite Lücke lädt dlls in Temp
Die zweite bekannt gegebene und gepatchte Sicherheitslücke (CVE-2022-24767) betrifft die Deinstallation von Git für Windows. Der Uninstaller läuft im Temporary Directory, normalerweise C:\Windows\Temp, in das jeder Nutzer des Computers beliebige Dateien legen kann. Dort vorgefundene .dll-Dateien werden vom Uninstaller geladen - gegebenenfalls mit den Rechten des System-Accounts.
Wenn man nicht sofort patchen kann
Sollte es nicht möglich sein, den Patch sofort einzuspielen, sollte zumindest im System die Umgebungsvariable GIT_CEILING_DIRECTORIES auf C:\Users (Windows), /home (Linux) oder /Users (macOS) setzen, um der ersten Lücke zu begegnen.
Bei der zweiten Lücke genügt es, Git einfach nicht zu deinstallieren oder dies mit einem Administrator-Konto statt einem System-User durchzuführen. Ist dies nicht möglich, können auch vorher alle .dll-Dateien, die nicht dort sein müssen oder gar unbekannt sind, aus C:\Windows\Temp gelöscht werden.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
Jetzt ist meine Neugierde wach geworden... Schnelltest: Dateien in c:\windows\temp...
Wie man es nimmt. Das ist ein Fehler im Uninstall-Programm von git für Windows. Aber es...