Abo
  • IT-Karriere:

Versionsverwaltung: Bösartige Git-Repos können Clients übernehmen

Eine Sicherheitslücke in der Versionsverwaltung Git ermöglicht es bösartigen Repositorys, unter Umständen Code auf Client-Systemen auszuführen. Patches für Git stehen bereit und verschiedene Hosting-Dienste haben Vorkehrungen gegen die Lücke getroffen.

Artikel veröffentlicht am ,
Git hat eine schwerwiegende Sicherheitslücke. Updates stehen bereit.
Git hat eine schwerwiegende Sicherheitslücke. Updates stehen bereit. (Bild: Luke Anderson, flickr.com/CC-BY 2.0)

Das Entwicklerteam der Versionsverwaltung Git hat eine Reihe von Updates für seine verschiedenen Versionszweige bereitgestellt, die zwei Sicherheitslücken beheben. Details zu der schwerwiegenderen von beiden, CVE-2018-11235, liefert ein Blogeintrag des Devops-Teams von Microsoft. Unter bestimmten Umständen können demnach bösartige Repositorys dazu genutzt werden, Code auf den Client-Systemen auszuführen (Remote Code Execution, RCE).

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. NETZSCH-Gerätebau GmbH, Selb

Führen Nutzer den Befehl "git clone --recurse-submodules" aus, erhält das Programm die Namen der Submodule aus der Datei .gitmodules. Diese Namen werden dann an den Pfad $GIT_DIR/modules angehängt, so dass über Pfadangaben wie ../ ein Directory Traversal möglich ist. Hinzu kommt, dass Post-Checkout-Hooks, also bestimmte Kontrollskripte, auch für Submodule ausgeführt werden. Zusammen kann das dann von Angreifern zum Ausführen von beliebigem Code auf den Clients genutzt werden.

Als Gegenmaßnahme hat das Team die Verwendung dieser speziell manipulierten Dateipfade in Git unterbunden. Als Schutz für Clients, die noch keine Updates eingespielt haben, wollen verschiedene Hosting-Provider das Hinzufügen von Repositorys unterbinden, die so gestaltet sind, dass diese die Lücke ausnutzen. Dazu gehören auch Microsofts Visual Studio Team Services, Gitlab und vermutlich auch Github, über dessen Bug-Bounty-Programm die Lücke gemeldet worden ist.

Updates verfügbar

Die zweite Lücke (CVE-2018-11233), die durch die Updates behoben wird, konnte dazu genutzt werden, den Code zur Überprüfung von Dateipfaden unter NTFS so zu manipulieren, dass damit beliebige Speicherteile ausgelesen werden konnten. Die aktuellen Versionen von Git, die die Patches für die Sicherheitslücke enthalten und diese damit schließen, sind: 2.13.7, 2.14.4, 2.15.2, 2.16.4 und 2.17.1.

Binärversionen für Windows werden über die Webseite des Projekts bereitgestellt. MacOS-Nutzer erhalten die aktuelle Version bereits über Homebrew und Updates für Linux-Distributionen werden bereits verteilt oder sollten demnächst folgen.



Anzeige
Top-Angebote
  1. (u. a. Lenovo Legion Y530-15ICH für 699€ + Versand - Bestpreis!)
  2. ab 99,00€
  3. (u. a. GTA 5 für 12,99€, Landwirtschafts-Simulator 19 für 27,99€, Battlefield V für 32,99€)

Baron Münchhausen. 31. Mai 2018

man braucht 3 sekunden um zu realisieren, dass man sie nicht braucht... Es sei denn man...

baltasaronmeth 31. Mai 2018

Repositories wäre Englisch, Repositorys wäre korrektes Deutsch, wenn Repository kein...

sasee_bln 30. Mai 2018

Das benutzen doch nur die alten SVN-Hasen, oder? Zum Glück werden in der Welt in der ich...

ashahaghdsa 30. Mai 2018

99% der Fälle nutze ich GIT um code zu clonen, kompilieren und dann auszuführen. Wer mich...


Folgen Sie uns
       


Google Nest Hub im Hands on

Ende Mai 2019 bringt Google den Nest Hub auf den deutschen Markt. Es ist das erste smarte Display direkt von Google. Es kann dank Google Assistant mit der Stimme bedient werden und hat zusätzlich einen 7 Zoll großen Touchscreen. Darauf laufen Youtube-Videos auf Zuruf. Der Nest Hub erscheint für 130 Euro.

Google Nest Hub im Hands on Video aufrufen
Bug Bounty Hunter: Mit Hacker 101-Tutorials zum Millionär
Bug Bounty Hunter
Mit "Hacker 101"-Tutorials zum Millionär

Santiago Lopez hat sich als Junge selbst das Hacken beigebracht und spürt Sicherheitslücken in der Software von Unternehmen auf. Gerade hat er damit seine erste Million verdient. Im Interview mit Golem.de erzählt er von seinem Alltag.
Ein Interview von Maja Hoock

  1. White Hat Hacking In unter zwei Stunden in Universitätsnetzwerke gelangen

Bethesda: Ich habe TES Blades für 5,50 Euro durchgespielt
Bethesda
Ich habe TES Blades für 5,50 Euro durchgespielt

Rund sechs Wochen lang hatte ich täglich viele spaßige und auch einige frustrierende Erlebnisse in Tamriel: Mittlerweile habe ich den Hexenkönig in TES Blades besiegt - ohne dafür teuer bezahlen zu müssen.
Ein Bericht von Marc Sauter

  1. Bethesda TES Blades erhält mehr Story-Inhalte und besseres Balancing
  2. Bethesda TES Blades ist für alle verfügbar
  3. TES Blades im Test Tolles Tamriel trollt

Homeoffice: Wenn der Arbeitsplatz so anonym ist wie das Internet selbst
Homeoffice
Wenn der Arbeitsplatz so anonym ist wie das Internet selbst

Homeoffice verspricht Freiheit und Flexibilität für die Mitarbeiter und Effizienzsteigerung fürs Unternehmen - und die IT-Branche ist dafür bestens geeignet. Doch der reine Online-Kontakt bringt auch Probleme mit sich.
Ein Erfahrungsbericht von Marvin Engel

  1. Bundesagentur für Arbeit Informatikjobs bleiben 132 Tage unbesetzt
  2. IT-Headhunter ReactJS- und PHP-Experten verzweifelt gesucht
  3. IT-Berufe Bin ich Freiberufler oder Gewerbetreibender?

    •  /