Sicherheit: Git gibt Sicherheitslücken bekannt und veröffentlicht Patch

Git hat zwei Sicherheitslücken bekannt gegeben und gleich auch einen Patch bereitgestellt, der diese stopft: Update dringend empfohlen.

Artikel veröffentlicht am ,
Git gepatcht
Git gepatcht (Bild: Jason Long, Montage: Golem.de/CC-BY 3.0)

Insbesondere die Nutzer von Git für Windows und Git-Anwender auf Multiusermaschinen sollten schnellstmöglich die Installation der Software auf den neuesten Stand bringen und den zur Verfügung gestellten Patch ausführen. Die beiden geschlossenen Sicherheitslücken betreffen laut dem Github-Blog das Ausführen von Git sowie das Uninstall für Windows.

Stellenmarkt
  1. IT-Administratorin/IT-Admini- strator (m/w/d) mit Schwerpunkt Windows Infrastruktur und Software-Deployment
    Ludwig-Maximilians-Universität (LMU) München, München
  2. SAP Basis Administrator (m/w/d)
    Minebea Intec GmbH, Hamburg, Aachen, Bovenden
Detailsuche

Einfach nur Git nicht selbst aufzurufen, hilft nur bedingt. Eine Menge Programme nutzen Git im Hintergrund: Git Bash, posh-git und Visual Studio werden von Git selbst genannt, daneben gibt es aber sicher noch andere Programme.

Github ist aber trotz des Namens nicht betroffen - es benutzt weder Git für Windows, noch führt es Git außerhalb von bekannten Repositories aus.

Erste Lücke: Ausführen von Befehlen

Die erste der beiden Lücken (CVE-2022-24765) kann es Angreifern ermöglichen, beliebige Befehle ausführen zu lassen. Dazu genügt es, an geeigneter Stelle ein .git-Directory mit einer entsprechenden Konfigurationsdatei in einem Ordner überhalb des Arbeitsverzeichnisses des git-Nutzers anzulegen.

Golem Karrierewelt
  1. ITIL 4® Foundation: virtueller Zwei-Tage-Workshop
    29./30.08.2022, virtuell
  2. Automatisierung (RPA) mit Python: virtueller Zwei-Tage-Workshop
    03./04.11.2022, Virtuell
Weitere IT-Trainings

Als Beispiel wird eine Datei in C:\.git\config genannt. In dieser config-Datei kann durch Verwendung von Konfigurationsvariablen (wie zum Beispiel core.fsmonitor) Git angewiesen werden, beliebige Befehle auszuführen, sobald der eigentliche Nutzer es verwendet. Git sucht in den übergeordneten Ordnern nach globaleren Konfigurationen, damit Nutzer nicht in jedem Verzeichnis alles neu konfigurieren müssen.

Die zweite Lücke lädt dlls in Temp

Die zweite bekannt gegebene und gepatchte Sicherheitslücke (CVE-2022-24767) betrifft die Deinstallation von Git für Windows. Der Uninstaller läuft im Temporary Directory, normalerweise C:\Windows\Temp, in das jeder Nutzer des Computers beliebige Dateien legen kann. Dort vorgefundene .dll-Dateien werden vom Uninstaller geladen - gegebenenfalls mit den Rechten des System-Accounts.

Wenn man nicht sofort patchen kann

Sollte es nicht möglich sein, den Patch sofort einzuspielen, sollte zumindest im System die Umgebungsvariable GIT_CEILING_DIRECTORIES auf C:\Users (Windows), /home (Linux) oder /Users (macOS) setzen, um der ersten Lücke zu begegnen.

Bei der zweiten Lücke genügt es, Git einfach nicht zu deinstallieren oder dies mit einem Administrator-Konto statt einem System-User durchzuführen. Ist dies nicht möglich, können auch vorher alle .dll-Dateien, die nicht dort sein müssen oder gar unbekannt sind, aus C:\Windows\Temp gelöscht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Manipulierte Ausweise  
CCC macht Videoident kaputt

Hinter dem Stopp von Videoident-Verfahren bei den Krankenkassen steckt ein Hack des Chaos Computer Clubs. Der Verein fordert weitere Konsequenzen.

Manipulierte Ausweise: CCC macht Videoident kaputt
Artikel
  1. Sicherheitssysteme: Tesla Model 3 erkennt Kinder-Dummy mehrfach nicht
    Sicherheitssysteme
    Tesla Model 3 erkennt Kinder-Dummy mehrfach nicht

    Tesla scheint keine Kinder auf der Fahrbahn zu erkennen. Dreimal wurde ein Dummy überfahren.

  2. Peripheriegeräte: Mechanische Tastatur hat integrierten 12,6-Zoll-Touchscreen
    Peripheriegeräte
    Mechanische Tastatur hat integrierten 12,6-Zoll-Touchscreen

    Die Ficihp K2 kann über USB-C als Tastatur und zusätzlicher Bildschirm genutzt werden - mit mechanischen Schaltern und USB-Hub.

  3. Datenschutz bei Whatsapp etc.: Was bei Messengerdiensten zu beachten ist
    Datenschutz bei Whatsapp etc.
    Was bei Messengerdiensten zu beachten ist

    Datenschutz für Sysadmins In einer zehnteiligen Serie behandelt Golem.de die wichtigsten Themen, die Sysadmins beim Datenschutz beachten müssen. Teil 1: Whatsapp & Co.
    Eine Anleitung von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Günstig wie nie: Samsung SSD 2TB Heatsink (PS5) 219,99€ • ebay Re-Store bis -50% gg. Neupreis • Grafikkarten zu Tiefpreisen (Gigabyte RTX 3080 12GB 859€) • MSI-Sale: Gaming-Laptops/PCs bis -30% • Sharkoon PC-Gehäuse -53% • Philips Hue -46% • Der beste Gaming-PC für 2.000€ [Werbung]
    •  /