Original-URL des Artikels: https://www.golem.de/news/security-schwere-sicherheitsluecke-im-git-client-1412-111278.html    Veröffentlicht: 19.12.2014 10:41    Kurz-URL: https://glm.io/111278

Security

Schwere Sicherheitslücke im Git-Client

Eine schwere Sicherheitslücke im Git-Client für Windows und Mac OS X macht Rechner von außen angreifbar. Es gibt bereits Aktualisierungen, die schnellstmöglich eingespielt werden sollten.

Entwickler sollten ihren Git-Client schnellstmöglich aktualisieren. In den Versionen für Windows und Mac OS X befindet sich ein Fehler, der schlimmstenfalls zur Übernahme des Rechners führen kann. Die Linux-Version ist davon nicht betroffen. Um den Fehler auszunutzen, muss aber manipulierter Code in Projekten auf Github eingeschleust werden.

Wie das Github-Team mitteilte, führt ein speziell präparierter Git-Tree auf groß- und kleinschreibungsunabhängigen Dateisystemen wie Microsofts NTFS sowie FAT oder Apples HFS+ dazu, dass entsprechende Git-Clients ihre eigenen Konfigurationsdateien beim Abgleichen des Codes aus einem Git-Repository überschreiben. Dann können beliebige Befehle ausgeführt werden.

Inzwischen wurde die zentrale Code-Verwaltung auf github.com aber so angepasst, dass entsprechend manipulierter Code nicht mehr hochgeladen werden kann. Außerdem wurde geprüft, ob solcher Code dort bereits hochgeladen wurde, bevor die Schwachstelle entdeckt wurde. Ob die Entwickler fündig geworden sind, geht aus der Mitteilung nicht hervor. Sie warnen jedoch, dass manipulierter Code möglicherweise auf anderen Git-Repositories bereitgestellt wurde, die solche Verifizierungen noch nicht umgesetzt haben.

In den Updates für Windows und Mac OS X wurde sowohl die grafische als auch die Kommandozeilenversion aktualisiert. Das Git-Core-Team hat ebenfalls Updates bereitgestellt. In den Versionen 1.8.5.6, 1.9.5, 2.0.5, 2.1.4 und 2.2.1 ist der Fehler behoben. Von MSysGit für Windows gibt es auch die neue Version 1.9.5. Außerdem haben die Git-Entwickler die Bibliotheken Libgit2 und JGit für Eclipse repariert. Git-Software von Drittanbietern, die diese Bibliotheken verwenden, sollte ebenfalls aktualisiert werden.  (jt)


Verwandte Artikel:
Connect 2017: Microsoft setzt weiter auf Enterprise-Open-Source   
(15.11.2017, https://glm.io/131161 )
Bilderkennung: Roboter löst Rubik's Cube in 380 Millisekunden   
(08.03.2018, https://glm.io/133228 )
Akamai: Github übersteht bislang stärksten DDoS-Angriff   
(02.03.2018, https://glm.io/133105 )
Verschlüsselung: Github testet Abschaltung alter Krypto   
(09.02.2018, https://glm.io/132684 )
Apple: Messages-App kann mit Nachricht zum Absturz gebracht werden   
(17.01.2018, https://glm.io/132222 )

© 1997–2019 Golem.de, https://www.golem.de/