Der offizielle Git-Client und jede verwandte Software, die mit Git-Repositories interagiert, weist eine kritische Sicherheitslücke auf (CVE-2014-9390), die Angreifern das Ausführen von Schadcode erlaubt. Dazu zählen auch GitHub für Windows und Mac, wie es in einer Sicherheitsmeldung heißt. Da es sich um eine clientseitige Schwachstelle handelt, sind github.com und GitHub Enterprise nicht direkt betroffen.
Angreifer können die Lücke ausnutzen, indem sie manipulierten Code in Projekten auf GitHub einschleusen. Ein speziell präparierter Git-Tree führt bei groß- und kleinschreibungsunabhängigen Dateisystemen wie NTFS und FAT unter Windows oder HFS+ unter Mac OS dazu, dass die anfälligen Git-Clients ihre eigene Konfigurationsdatei beim Codeabgleich aus einem Repository überschreiben. In der Folge können Angreifer so schlimmstenfalls die Kontrolle über den Rechner übernehmen und beliebige Befehle ausführen. Linux-Clients sind nicht betroffen, wenn sie in einem groß- und kleinschreibungsabhängigen Dateisystem laufen.
Inzwischen werden schädliche Git-Trees, die die Schwachstelle ausnutzen, in auf github.com gehosteten Repositories automatisch blockiert. Außerdem haben die Site-Betreiber alle Inhalte auf Schadcode geprüft, der vor der Entdeckung der Schwachstelle möglicherweise hochgeladen wurde. Nutzer sollten aber weiterhin vorsichtig sein, wenn sie auf Git-Repositories zugreifen, die an anderer Stelle gehostet werden.
Von GitHub für Windows und GitHub für Mac sind bereits aktualisierte Versionen erschienen, die das Sicherheitsloch in der Desktop-Anwendung selbt und dem zugehörigen Git-Kommandozeilen-Client stopfen. Es wird empfohlen, die Git-Clients schnellstmöglich zu aktualisieren. Auch wenn Linux-Nutzer selbst nicht betroffen sind, sollten Hosting-Services, deren Nutzer von Windows- oder Mac-OS-Systemen auf ihre Dienste zugreifen, ebenfalls die jüngsten Git-Versionen installieren, um ihre Anwender zu schützen.
Dazu hat das Git-Core-Team Wartungsupdates für alle aktuellen Git-Versionen (1.8.5.6, 1.9.5, 2.0.5, 2.1.4 und 2.2.1) veröffentlicht. Git for Windows (alias MSysGit) liegt in Version 1.9.5 vor. Die beiden führenden Git-Bibliotheken libgit2 und JGit haben ebenfalls Updates mit einem Fix bereitgestellt. Drittanbieter-Software, die diese Bibliotheken nutzen, sollte ebenfalls aktualisiert werden.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
Noch keine Kommentare zu Kritische Sicherheitslücke in Git-Client entdeckt
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.