Abo
  • IT-Karriere:

Versionsverwaltung: Bösartige Git-Repos können Clients übernehmen

Eine Sicherheitslücke in der Versionsverwaltung Git ermöglicht es bösartigen Repositorys, unter Umständen Code auf Client-Systemen auszuführen. Patches für Git stehen bereit und verschiedene Hosting-Dienste haben Vorkehrungen gegen die Lücke getroffen.

Artikel veröffentlicht am ,
Git hat eine schwerwiegende Sicherheitslücke. Updates stehen bereit.
Git hat eine schwerwiegende Sicherheitslücke. Updates stehen bereit. (Bild: Luke Anderson, flickr.com/CC-BY 2.0)

Das Entwicklerteam der Versionsverwaltung Git hat eine Reihe von Updates für seine verschiedenen Versionszweige bereitgestellt, die zwei Sicherheitslücken beheben. Details zu der schwerwiegenderen von beiden, CVE-2018-11235, liefert ein Blogeintrag des Devops-Teams von Microsoft. Unter bestimmten Umständen können demnach bösartige Repositorys dazu genutzt werden, Code auf den Client-Systemen auszuführen (Remote Code Execution, RCE).

Stellenmarkt
  1. enercity AG, Hannover
  2. Dataport, verschiedene Standorte

Führen Nutzer den Befehl "git clone --recurse-submodules" aus, erhält das Programm die Namen der Submodule aus der Datei .gitmodules. Diese Namen werden dann an den Pfad $GIT_DIR/modules angehängt, so dass über Pfadangaben wie ../ ein Directory Traversal möglich ist. Hinzu kommt, dass Post-Checkout-Hooks, also bestimmte Kontrollskripte, auch für Submodule ausgeführt werden. Zusammen kann das dann von Angreifern zum Ausführen von beliebigem Code auf den Clients genutzt werden.

Als Gegenmaßnahme hat das Team die Verwendung dieser speziell manipulierten Dateipfade in Git unterbunden. Als Schutz für Clients, die noch keine Updates eingespielt haben, wollen verschiedene Hosting-Provider das Hinzufügen von Repositorys unterbinden, die so gestaltet sind, dass diese die Lücke ausnutzen. Dazu gehören auch Microsofts Visual Studio Team Services, Gitlab und vermutlich auch Github, über dessen Bug-Bounty-Programm die Lücke gemeldet worden ist.

Updates verfügbar

Die zweite Lücke (CVE-2018-11233), die durch die Updates behoben wird, konnte dazu genutzt werden, den Code zur Überprüfung von Dateipfaden unter NTFS so zu manipulieren, dass damit beliebige Speicherteile ausgelesen werden konnten. Die aktuellen Versionen von Git, die die Patches für die Sicherheitslücke enthalten und diese damit schließen, sind: 2.13.7, 2.14.4, 2.15.2, 2.16.4 und 2.17.1.

Binärversionen für Windows werden über die Webseite des Projekts bereitgestellt. MacOS-Nutzer erhalten die aktuelle Version bereits über Homebrew und Updates für Linux-Distributionen werden bereits verteilt oder sollten demnächst folgen.



Anzeige
Spiele-Angebote
  1. (-67%) 3,30€
  2. (-78%) 2,20€
  3. (-12%) 52,99€
  4. 4,99€

Baron Münchhausen. 31. Mai 2018

man braucht 3 sekunden um zu realisieren, dass man sie nicht braucht... Es sei denn man...

baltasaronmeth 31. Mai 2018

Repositories wäre Englisch, Repositorys wäre korrektes Deutsch, wenn Repository kein...

sasee_bln 30. Mai 2018

Das benutzen doch nur die alten SVN-Hasen, oder? Zum Glück werden in der Welt in der ich...

ashahaghdsa 30. Mai 2018

99% der Fälle nutze ich GIT um code zu clonen, kompilieren und dann auszuführen. Wer mich...


Folgen Sie uns
       


Samsungs 49-Zoll-QLED-Gaming-Monitor - Test

Der Samsung CRG9 ist nicht nur durch sein 32:9-Format beeindruckend. Auch die hohe Bildfrequenz und sehr gute Helligkeit ermöglichen ein sehr immersives Gaming und viel Platz für Multitasking.

Samsungs 49-Zoll-QLED-Gaming-Monitor - Test Video aufrufen
Change-Management: Die Zeiten, sie, äh, ändern sich
Change-Management
Die Zeiten, sie, äh, ändern sich

Einen Change zu wollen, gehört heute zum guten Ton in der Unternehmensführung. Doch ein erzwungener Wandel in der Firmenkultur löst oft keine Probleme und schafft sogar neue.
Ein Erfahrungsbericht von Marvin Engel

  1. IT-Jobs Der Amtsschimmel wiehert jetzt agil
  2. MINT Werden Frauen überfördert?
  3. Recruiting Wenn das eigene Wachstum zur Herausforderung wird

Internetprovider: P(y)ures Chaos
Internetprovider
P(y)ures Chaos

95 Prozent der Kunden des Internetproviders Pyur bewerten die Leistung auf renommierten Bewertungsportalen mit der Schulnote 6. Ein Negativrekord in der Branche. Was steckt hinter der desaströsen Kunden(un)zufriedenheit bei der Marke von Tele Columbus? Ein Selbstversuch.
Ein Erfahrungsbericht von Tarik Ahmia

  1. Bundesnetzagentur Nur 13 Prozent bekommen im Festnetz die volle Datenrate

Linux-Kernel: Selbst Google ist unfähig, Android zu pflegen
Linux-Kernel
Selbst Google ist unfähig, Android zu pflegen

Bisher gilt Google als positive Ausnahme von der schlechten Update-Politik im Android-Ökosystem. Doch eine aktuelle Sicherheitslücke zeigt, dass auch Google die Updates nicht im Griff hat. Das ist selbst verschuldet und könnte vermieden werden.
Ein IMHO von Sebastian Grüner

  1. Kernel Linux bekommt Unterstützung für USB 4
  2. Kernel Vorschau auf Linux 5.4 bringt viele Security-Funktionen
  3. Linux Lockdown-Patches im Kernel aufgenommen

    •  /