Sicherheit: Git gibt Sicherheitslücken bekannt und veröffentlicht Patch

Git hat zwei Sicherheitslücken bekannt gegeben und gleich auch einen Patch bereitgestellt, der diese stopft: Update dringend empfohlen.

Artikel veröffentlicht am ,
Git gepatcht
Git gepatcht (Bild: Jason Long, Montage: Golem.de/CC-BY 3.0)

Insbesondere die Nutzer von Git für Windows und Git-Anwender auf Multiusermaschinen sollten schnellstmöglich die Installation der Software auf den neuesten Stand bringen und den zur Verfügung gestellten Patch ausführen. Die beiden geschlossenen Sicherheitslücken betreffen laut dem Github-Blog das Ausführen von Git sowie das Uninstall für Windows.

Stellenmarkt
  1. Mitarbeiter (m/w/d) Softwaretests im Kundencenter der Commerzbank
    Commerz Direktservice GmbH, Duisburg
  2. Lead Solution Architect / Lead Developer (w/m/d)
    WEFRA LIFE SOLUTIONS GmbH, Neu-Isenburg
Detailsuche

Einfach nur Git nicht selbst aufzurufen, hilft nur bedingt. Eine Menge Programme nutzen Git im Hintergrund: Git Bash, posh-git und Visual Studio werden von Git selbst genannt, daneben gibt es aber sicher noch andere Programme.

Github ist aber trotz des Namens nicht betroffen - es benutzt weder Git für Windows, noch führt es Git außerhalb von bekannten Repositories aus.

Erste Lücke: Ausführen von Befehlen

Die erste der beiden Lücken (CVE-2022-24765) kann es Angreifern ermöglichen, beliebige Befehle ausführen zu lassen. Dazu genügt es, an geeigneter Stelle ein .git-Directory mit einer entsprechenden Konfigurationsdatei in einem Ordner überhalb des Arbeitsverzeichnisses des git-Nutzers anzulegen.

Golem Akademie
  1. Kubernetes Dive-in-Workshop: virtueller Drei-Tage-Workshop
    19.-21.07.2022, Virtuell
  2. Linux-Shellprogrammierung: virtueller Vier-Tage-Workshop
    04.-07.07.2022, Virtuell
Weitere IT-Trainings

Als Beispiel wird eine Datei in C:\.git\config genannt. In dieser config-Datei kann durch Verwendung von Konfigurationsvariablen (wie zum Beispiel core.fsmonitor) Git angewiesen werden, beliebige Befehle auszuführen, sobald der eigentliche Nutzer es verwendet. Git sucht in den übergeordneten Ordnern nach globaleren Konfigurationen, damit Nutzer nicht in jedem Verzeichnis alles neu konfigurieren müssen.

Die zweite Lücke lädt dlls in Temp

Die zweite bekannt gegebene und gepatchte Sicherheitslücke (CVE-2022-24767) betrifft die Deinstallation von Git für Windows. Der Uninstaller läuft im Temporary Directory, normalerweise C:\Windows\Temp, in das jeder Nutzer des Computers beliebige Dateien legen kann. Dort vorgefundene .dll-Dateien werden vom Uninstaller geladen - gegebenenfalls mit den Rechten des System-Accounts.

Wenn man nicht sofort patchen kann

Sollte es nicht möglich sein, den Patch sofort einzuspielen, sollte zumindest im System die Umgebungsvariable GIT_CEILING_DIRECTORIES auf C:\Users (Windows), /home (Linux) oder /Users (macOS) setzen, um der ersten Lücke zu begegnen.

Bei der zweiten Lücke genügt es, Git einfach nicht zu deinstallieren oder dies mit einem Administrator-Konto statt einem System-User durchzuführen. Ist dies nicht möglich, können auch vorher alle .dll-Dateien, die nicht dort sein müssen oder gar unbekannt sind, aus C:\Windows\Temp gelöscht werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


JouMxyzptlk 15. Apr 2022 / Themenstart

Jetzt ist meine Neugierde wach geworden... Schnelltest: Dateien in c:\windows\temp...

Wursthupe 13. Apr 2022 / Themenstart

Wie man es nimmt. Das ist ein Fehler im Uninstall-Programm von git für Windows. Aber es...

Kommentieren



Aktuell auf der Startseite von Golem.de
US-Militär
Kernkraft im Weltall von Vernunft bis möglichem Betrug

Zwei Techniken sollen 2027 mit Satelliten fliegen, ein Fusionsreaktor und eine Radioisotopenbatterie. Nur eine davon ist glaubwürdig.
Von Frank Wunderlich-Pfeiffer

US-Militär: Kernkraft im Weltall von Vernunft bis möglichem Betrug
Artikel
  1. Nordvpn, Expressvpn, Mullvad & Co: Die Qual der VPN-Wahl
    Nordvpn, Expressvpn, Mullvad & Co
    Die Qual der VPN-Wahl

    Wer sicher im Internet unterwegs sein will, braucht ein VPN - oder doch nicht? Viele Anbieter kommen jedenfalls gar nicht erst in Frage.
    Von Moritz Tremmel

  2. Hackerangriff: Vertrauliche Dokumente bei Angriff auf TU Berlin entwendet
    Hackerangriff
    Vertrauliche Dokumente bei Angriff auf TU Berlin entwendet

    Nach dem IT-Angriff auf die TU Berlin sind Passwörter und Zeugnisse entwendet worden. Die Wiederherstellung dauerte teils Monate.

  3. Samsung Galaxy Book Pro 360 bei Amazon mit 400 Euro Rabatt
     
    Samsung Galaxy Book Pro 360 bei Amazon mit 400 Euro Rabatt

    Spannende Produkte zu günstigen Preisen gibt es bei Amazon auch heute. Satte Rabatte gibt es auf das Samsung Galaxy Book Pro 360 und vieles mehr.
    Ausgewählte Angebote des E-Commerce-Teams

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /