Sicherheitslücke: Zeilenumbruch ermöglicht Ausleiten von Git-Zugängen

Ein Fehler im URL-Parsing des Git-Clients ermöglicht unter Umständen eine Sicherheitslücke. Die Entwickler verteilen Updates.

Artikel veröffentlicht am ,
Der Zeilenvorschub (Linefeed, LF) stammt aus der Zeit der Schreibmaschinen. Und sorgt in URLs für Sicherheitslücken.
Der Zeilenvorschub (Linefeed, LF) stammt aus der Zeit der Schreibmaschinen. Und sorgt in URLs für Sicherheitslücken. (Bild: Kolossos/Wikimedia/CC-BY-SA 2.5)

Die Git-Entwickler haben Updates für ihre aktuell noch unterstützten Versionen des Werkzeugs veröffentlicht, um eine Sicherheitslücke (CVE-2020-5260) in Git zu schließen. Das betrifft alle Versionen ab Git 2.17 bis zum aktuellen Git-Zweig 2.26. Der Fehler könnte es Angreifern über eine speziell manipulierte URL ermöglichen, von Anwendern Zugangsdaten für andere Host-Server auszuleiten, die zur einfacheren Nutzung hinterlegt wurden.

Stellenmarkt
  1. Projektmanager Digitalisierung Vertrieb (m/w/d)
    MVV Energie AG, Mannheim
  2. Datenbankconsultant
    TEAM GmbH, Paderborn
Detailsuche

Gefunden hat die Lücke der Forscher Felix Wilhelm für Googles Bug-Jäger des Project Zero. In dem dazugehörigen und nun öffentlichen Bug-Report beschreibt Wilhelm detailliert den Fehler. Die Ursache ist demnach ein fehlerhafter Umgang mit dem Zeichen für einen Zeilenumbruch (LF, 0A, \n), der in einer URL untergebracht werden kann. Setzen Nutzer auf sogenannte Credential Helpers, also Hilfsfunktionen zum Speichern von Zugangsdaten, konnte das in die URL geschmuggelte Kontrollzeichen zur ungewollten Ausgabe der Daten führen.

Denn zusätzlich zu dem eigentlich angeforderten Host interpretierte der Git-Client den zusätzlichen URL-Bestandteil ?%0ahost=github.com so, dass dann ?\nhost=github.com in der Konfiguration der Hilfsfunktion landete. Diese hat dann eben auch die Zugangsdaten für den hier beispielhaft aufgeführten Host Github.com mit ausgegeben, zusätzlich zu dem eigentlich angefragten Host.

Interessant an dem Fehler ist vor allem, dass dieser auf den URL-Parser von Git zurückzuführen ist, der, wie Wilhelm schreibt, eine Eigenimplementierung des Git-Projekts ist. Dieser habe schlicht alles bis zu einem Slash als Teil des Hostname angenommen und keine weitere Überprüfung der Daten vorgenommen. Darüber hinaus hatte auch schon das Curl-Projekt in der Vergangenheit ähnliche Fehler, bei denen Zeilenumbrüche in der URL zu Sicherheitslücken führen konnten. Bis Version 7.62 der Curl-Bibliothek sei dies laut Wilhelm etwa auch noch für Nutzernamen so gewesen. Zwar müssten damit dann gezielt bekannte Nutzernamen angegriffen werden, diese Art Angriff ließe sich aber auch über Redirects ausnutzen.

Golem Akademie
  1. Einführung in die Programmierung mit Rust: virtueller Fünf-Halbtage-Workshop
    21.–25. März 2022, Virtuell
  2. Ansible Fundamentals: Systemdeployment & -management: virtueller Drei-Tage-Workshop
    6.–8. Dezember 2021, Virtuell
Weitere IT-Trainings

Wilhelm hat als Teil seines Bug-Reports Beispielcode zum Ausnutzen der Lücke veröffentlicht. Nutzer sollten ihre Clients aktualisieren.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Softwarepatent
Uraltpatent könnte Microsoft Millionen kosten

Microsoft hat eine Klage um ein Software-Patent vor dem BGH verloren. Das Patent beschreibt Grundlagentechnik und könnte zahlreiche weitere Cloud-Anbieter betreffen.
Ein Bericht von Stefan Krempl

Softwarepatent: Uraltpatent könnte Microsoft Millionen kosten
Artikel
  1. Krypto: Angeblicher Nakamoto darf 1,1 Millionen Bitcoins behalten
    Krypto
    Angeblicher Nakamoto darf 1,1 Millionen Bitcoins behalten

    Ein Gericht hat entschieden, dass Craig Wright der Familie seines Geschäftspartners keine Bitcoins schuldet - kommt jetzt der Beweis, dass er Satoshi Nakamoto ist?

  2. Künftiger Tile-Besitzer: Life360 betreibt Handel mit Standortdaten seiner Nutzer
    Künftiger Tile-Besitzer
    Life360 betreibt Handel mit Standortdaten seiner Nutzer

    Die App Life360 ermöglicht die Echtzeitüberwachung von Familienmitgliedern. Die erfassten Standortdaten verkauft der Betreiber offenbar weiter.

  3. Spielfilm: Matrix trifft Unreal Engine 5
    Spielfilm
    Matrix trifft Unreal Engine 5

    Ist der echt? Neo taucht in einem interaktiven Programm auf Basis der Unreal Engine 5 auf. Der Preload ist bereits möglich.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MM Weihnachtsgeschenkt (u. a. 3 Spiele kaufen, nur 2 bezahlen) • PS5 & Xbox Series X mit o2-Vertrag bestellbar • Apple Days bei Saturn (u. a. MacBook Air M1 949€) • Switch OLED 349,99€ • Saturn-Advent: HP Reverb G2 + Controller 499,99€ • Logitech MX Keys Mini 89,99€ [Werbung]
    •  /