Sicherheitslücke: Zeilenumbruch ermöglicht Ausleiten von Git-Zugängen

Ein Fehler im URL-Parsing des Git-Clients ermöglicht unter Umständen eine Sicherheitslücke. Die Entwickler verteilen Updates.

Artikel veröffentlicht am ,
Der Zeilenvorschub (Linefeed, LF) stammt aus der Zeit der Schreibmaschinen. Und sorgt in URLs für Sicherheitslücken.
Der Zeilenvorschub (Linefeed, LF) stammt aus der Zeit der Schreibmaschinen. Und sorgt in URLs für Sicherheitslücken. (Bild: Kolossos/Wikimedia/CC-BY-SA 2.5)

Die Git-Entwickler haben Updates für ihre aktuell noch unterstützten Versionen des Werkzeugs veröffentlicht, um eine Sicherheitslücke (CVE-2020-5260) in Git zu schließen. Das betrifft alle Versionen ab Git 2.17 bis zum aktuellen Git-Zweig 2.26. Der Fehler könnte es Angreifern über eine speziell manipulierte URL ermöglichen, von Anwendern Zugangsdaten für andere Host-Server auszuleiten, die zur einfacheren Nutzung hinterlegt wurden.

Stellenmarkt
  1. BI Applikationsarchitekt (m/w/d) in Voll- oder Teilzeit
    Volkswagen Financial Services AG, Braunschweig
  2. Referent für Data Governance im Bereich Asset Daten (m/w/d)
    TenneT TSO GmbH, Lehrte, Bayreuth
Detailsuche

Gefunden hat die Lücke der Forscher Felix Wilhelm für Googles Bug-Jäger des Project Zero. In dem dazugehörigen und nun öffentlichen Bug-Report beschreibt Wilhelm detailliert den Fehler. Die Ursache ist demnach ein fehlerhafter Umgang mit dem Zeichen für einen Zeilenumbruch (LF, 0A, \n), der in einer URL untergebracht werden kann. Setzen Nutzer auf sogenannte Credential Helpers, also Hilfsfunktionen zum Speichern von Zugangsdaten, konnte das in die URL geschmuggelte Kontrollzeichen zur ungewollten Ausgabe der Daten führen.

Denn zusätzlich zu dem eigentlich angeforderten Host interpretierte der Git-Client den zusätzlichen URL-Bestandteil ?%0ahost=github.com so, dass dann ?\nhost=github.com in der Konfiguration der Hilfsfunktion landete. Diese hat dann eben auch die Zugangsdaten für den hier beispielhaft aufgeführten Host Github.com mit ausgegeben, zusätzlich zu dem eigentlich angefragten Host.

Interessant an dem Fehler ist vor allem, dass dieser auf den URL-Parser von Git zurückzuführen ist, der, wie Wilhelm schreibt, eine Eigenimplementierung des Git-Projekts ist. Dieser habe schlicht alles bis zu einem Slash als Teil des Hostname angenommen und keine weitere Überprüfung der Daten vorgenommen. Darüber hinaus hatte auch schon das Curl-Projekt in der Vergangenheit ähnliche Fehler, bei denen Zeilenumbrüche in der URL zu Sicherheitslücken führen konnten. Bis Version 7.62 der Curl-Bibliothek sei dies laut Wilhelm etwa auch noch für Nutzernamen so gewesen. Zwar müssten damit dann gezielt bekannte Nutzernamen angegriffen werden, diese Art Angriff ließe sich aber auch über Redirects ausnutzen.

Golem Karrierewelt
  1. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    14./15.12.2022, virtuell
  2. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    16.-18.01.2023, virtuell
Weitere IT-Trainings

Wilhelm hat als Teil seines Bug-Reports Beispielcode zum Ausnutzen der Lücke veröffentlicht. Nutzer sollten ihre Clients aktualisieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Cybermonday
CPU-Kaufberatung für Spieler

Wir erklären, wann sich ein neuer Prozessor wirklich lohnt und wann man doch lieber warten oder in eine Grafikkarte investieren sollte.
Von Martin Böckmann

Cybermonday: CPU-Kaufberatung für Spieler
Artikel
  1. 400.000 Ladepunkte: Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh
    400.000 Ladepunkte
    Audi startet Ladesäulen-Tarif mit bis zu 0,81 Euro pro kWh

    Am 1. Januar 2023 will Audi seinen Ladedienst Audi Charging starten. Bis zu 0,81 Euro pro kWh werden verlangt.

  2. Netzwerkprotokoll: Was Admins und Entwickler über IPv6 wissen müssen
    Netzwerkprotokoll
    Was Admins und Entwickler über IPv6 wissen müssen

    Sogar für IT-Profis scheint das Netzwerkprotokoll IPv6 oft ein Buch mit sieben Siegeln - und stößt bei ihnen nicht auf bedingungslose Liebe. Wir überprüfen die Vorbehalte in der Praxis und geben Tipps.
    Von Jochen Demmer

  3. Wo Long Fallen Dynasty Vorschau: Souls-like mit Schwertkampf in China
    Wo Long Fallen Dynasty Vorschau
    Souls-like mit Schwertkampf in China

    Das nächste Souls-like heißt Wo Long: Fallen Dynasty und stammt von Team Ninja. Golem.de hat beim Anspielen mehr Gegner erledigt als erwartet.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Monday bei Media Markt & Saturn • Nur noch heute: Black Friday Woche bei Amazon & NBB • MindStar: Intel Core i7 12700K 359€ • Gigabyte RX 6900 XT 799€ • Xbox Series S 222€ • Gamesplanet Winter Sale - neue Angebote • WD_BLACK SN850 1TB 129€ [Werbung]
    •  /