Abo
  • IT-Karriere:

Versionsverwaltung: Bösartige Git-Repos können Clients übernehmen

Eine Sicherheitslücke in der Versionsverwaltung Git ermöglicht es bösartigen Repositorys, unter Umständen Code auf Client-Systemen auszuführen. Patches für Git stehen bereit und verschiedene Hosting-Dienste haben Vorkehrungen gegen die Lücke getroffen.

Artikel veröffentlicht am ,
Git hat eine schwerwiegende Sicherheitslücke. Updates stehen bereit.
Git hat eine schwerwiegende Sicherheitslücke. Updates stehen bereit. (Bild: Luke Anderson, flickr.com/CC-BY 2.0)

Das Entwicklerteam der Versionsverwaltung Git hat eine Reihe von Updates für seine verschiedenen Versionszweige bereitgestellt, die zwei Sicherheitslücken beheben. Details zu der schwerwiegenderen von beiden, CVE-2018-11235, liefert ein Blogeintrag des Devops-Teams von Microsoft. Unter bestimmten Umständen können demnach bösartige Repositorys dazu genutzt werden, Code auf den Client-Systemen auszuführen (Remote Code Execution, RCE).

Stellenmarkt
  1. DI Deutsche Immobilien Gruppe (DI-Gruppe), Düren
  2. Hays AG, Berlin-Tempelhof

Führen Nutzer den Befehl "git clone --recurse-submodules" aus, erhält das Programm die Namen der Submodule aus der Datei .gitmodules. Diese Namen werden dann an den Pfad $GIT_DIR/modules angehängt, so dass über Pfadangaben wie ../ ein Directory Traversal möglich ist. Hinzu kommt, dass Post-Checkout-Hooks, also bestimmte Kontrollskripte, auch für Submodule ausgeführt werden. Zusammen kann das dann von Angreifern zum Ausführen von beliebigem Code auf den Clients genutzt werden.

Als Gegenmaßnahme hat das Team die Verwendung dieser speziell manipulierten Dateipfade in Git unterbunden. Als Schutz für Clients, die noch keine Updates eingespielt haben, wollen verschiedene Hosting-Provider das Hinzufügen von Repositorys unterbinden, die so gestaltet sind, dass diese die Lücke ausnutzen. Dazu gehören auch Microsofts Visual Studio Team Services, Gitlab und vermutlich auch Github, über dessen Bug-Bounty-Programm die Lücke gemeldet worden ist.

Updates verfügbar

Die zweite Lücke (CVE-2018-11233), die durch die Updates behoben wird, konnte dazu genutzt werden, den Code zur Überprüfung von Dateipfaden unter NTFS so zu manipulieren, dass damit beliebige Speicherteile ausgelesen werden konnten. Die aktuellen Versionen von Git, die die Patches für die Sicherheitslücke enthalten und diese damit schließen, sind: 2.13.7, 2.14.4, 2.15.2, 2.16.4 und 2.17.1.

Binärversionen für Windows werden über die Webseite des Projekts bereitgestellt. MacOS-Nutzer erhalten die aktuelle Version bereits über Homebrew und Updates für Linux-Distributionen werden bereits verteilt oder sollten demnächst folgen.



Anzeige
Top-Angebote
  1. (u. a. Logitech G502 Hero für 44€ und G903 für 79€ und diverse TV-, Audio-, Computer- und...
  2. (heute u. a. Samsung-TVs der RU8009-Reihe und Gaming-Stühle)
  3. 41,80€ inkl. Rabattgutschein (Bestpreis!)
  4. 79€

Baron Münchhausen. 31. Mai 2018

man braucht 3 sekunden um zu realisieren, dass man sie nicht braucht... Es sei denn man...

baltasaronmeth 31. Mai 2018

Repositories wäre Englisch, Repositorys wäre korrektes Deutsch, wenn Repository kein...

sasee_bln 30. Mai 2018

Das benutzen doch nur die alten SVN-Hasen, oder? Zum Glück werden in der Welt in der ich...

ashahaghdsa 30. Mai 2018

99% der Fälle nutze ich GIT um code zu clonen, kompilieren und dann auszuführen. Wer mich...


Folgen Sie uns
       


Golem.de probiert 5G in Berlin aus - Bericht

Wir probieren 5G in Berlin-Adlershof aus.

Golem.de probiert 5G in Berlin aus - Bericht Video aufrufen
IMHO: Porsche prescht beim Preis übers Ziel hinaus
IMHO
Porsche prescht beim Preis übers Ziel hinaus

Die technischen Werte der beiden elektrischen Porsche Taycan-Versionen sind beeindruckend. Viele werden sie als "Tesla-Killer" bezeichnen. Doch preislich peilt Porsche damit eine extrem kleine Zielgruppe an: Ein gut ausgestatteter Turbo S kostet 214.000 Euro.
Ein IMHO von Dirk Kunde

  1. Gaming Konsolenkrieg statt Spielestreaming
  2. IMHO Valve, so geht es nicht weiter!
  3. Onlinehandel Tesla schlägt Kaufinteressenten die Ladentür vor der Nase zu

MX Series im Hands on: Logitechs edle Eingabegeräte
MX Series im Hands on
Logitechs edle Eingabegeräte

Beleuchtet, tolles Tippgefühl und kabellos, dazu eine Maus mit magnetischem Schweizer Präzisionsrad: Logitech hat neue Eingabegeräte für seine Premium-Reihe veröffentlicht - beide unterstützen USB Typ C. Golem.de konnte MX Keys und MX Master 3 unter Windows und MacOS bereits ausprobieren.
Ein Hands on von Peter Steinlechner

  1. Unifying Sicherheitsupdate für Logitech-Tastaturen umgangen
  2. Gaming Logitech bringt mechanische Tastaturen mit flachen Schaltern
  3. Logitacker Kabellose Logitech-Tastaturen leicht zu hacken

IT-Studium: Kein Abitur? Kein Problem!
IT-Studium
Kein Abitur? Kein Problem!

Martin Fricke studiert Informatik, obwohl er kein Abitur hat. Das darf er, weil Universitäten Berufserfahrung für die Zulassung anerkennen. Davon profitieren Menschen wie Unternehmen gleichermaßen.
Von Tarek Barkouni

  1. IT Welches Informatikstudium passt zu mir?
  2. Bitkom Nur jeder siebte Bewerber für IT-Jobs ist weiblich

    •  /