Sicherheitswarnungen für Git und GitHub

Eine Schwachstelle in Git ermöglicht das Umleiten von Credentials, und GitHub warnt vor einer Welle von Phishing-Mails.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 91 Beiträge

(Bild: GitHub)

Update
Von

GitHub hat gleich zwei Sicherheitswarnungen in kurzer Zeit herausgegeben, von denen eine allgemein die Versionsverwaltung Git betrifft und die zweite sich auf Phishing-Mails an Nutzer der Plattform bezieht. Beide Angriffsvektoren lassen sich mit den jeweils gebotenen Maßnahmen umgehen: Für Git existiert ein Update, und der Klick auf einen Link zu einer Log-in-Seite in einer noch so vertrauenswürdig wirkenden Mail ist tabu.

Zum Speichern und Abrufen von Credentials wie Passwörtern nutzt Git externe Hilfsprogramme. Felix Wilhelm von Google Project Zero hat eine Schwachstelle in diesen sogenannten Credential Helper-Programmen entdeckt, die Git-Versionen von 2.17 bis zu dem vor Kurzem veröffentlichten 2.26-Release betrifft.

Demnach können Angreifer durch speziell zugeschnittene URLs, die einen Zeilenumbruch enthalten, beliebige Daten in den Protokoll-Stream des Credential-Helper-Programms einschleusen. Letzteres führt daraufhin eine HTTP-Anfrage auf den eingeschleusten statt den Originalserver mit den Credentials durch. Die beiden Servernamen können jeweils beliebig sein, sodass Angreifer die Anfrage auf jeden Host umleiten können.

Die Git-Community hat bereits ein Update für alle Versionen seit v2.17.x herausgegeben. Für das jüngste Release schließt ein Update auf Git 2.26.1 die Lücke. Falls kein direktes Update möglich ist, empfiehlt das zugehörige Security-Advisory bei GitHub als Workaround das Deaktivieren des Credential-Helper-Mechanismus:

git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper

[Update 15.4. 13:30 Uhr]:

Ein Leser hat uns darauf hingewiesen, dass das Problem auch ältere Git-Versionen betrifft, die laut seinen Recherchen im Git-Code bis zu Version 1.7.9 zurückgehen. Der zugehörige CVE-Eintrag weist lediglich darauf hin, dass Updates ab Version 2.17.x existieren. Wer ältere Varianten nutzt, muss den Patch selbst einpflegen.

[/Update]

Lesen Sie auch auf heise Developer

GitHub warnt zudem vor einer aktuellen Phishing-Angriffswelle, die auf den ersten Blick recht gut gefälschte Mails und unterschiedliche Taktiken verwendet. Als Köder verwendet sie unter anderem vermeintlich veränderte Settings im oder unautorisierte Zugriffe auf den GitHub-Account. Die Mails stammen von seriös erscheinenden Domains. Die Angreifer holen sich die E-Mail-Adressen wohl von öffentlichen Commits und verschleiern die Umleitung auf die Zielwebsite teils mehrfach durch PHP-basierte Umleitungen und Kurz-URL-Dienste (URL Shortener).

Die Phishing-Mails warnen vor unterschiedlichen Aktivitäten, die vermeintlich die GitHub-Accounts betreffen.

(Bild: GitHub)

Offensichtlich schützt eine Zweifaktorautorisierung ebenfalls nicht in allen Fällen: Wer Hardware-Security-Keys verwendet, ist auf der sicheren Seite, aber die Angreifer leiten TOTP-Codes (Time-based One-Time Password) in Echtzeit um und verwenden sie umgehend. Häufig laden die Angreifer im Anschluss die Inhalte der Repositorys direkt herunter. Darüber hinaus erstellen sie in gehackten Accounts Personal Access Tokens oder geben den Zugriff auf OAuth-Anwendungen frei, um auch nach einer Änderung des Passworts durch die legitimen Nutzer darauf zugreifen zu können.

Der Klick auf Links zu einer Log-in-Seite ist auch bei noch so seriös erscheinenden E-Mails tabu. Wer bezüglich der vermeintlichen Änderungen am Account unsicher ist, sollte den direkten Weg über github.com wählen. Wenn es bereits zu spät ist, müssen Nutzer auf jeden Fall direkt ihr Passwort ändern und ihre Personal Access Tokens überprüfen. Weitere Maßnahmen im Schadensfall sowie zusätzliche Taktiken der Angreifer finden sich im GitHub-Blog. (rme)