zurück zum Artikel

Sicherheitsupdate: Vorsicht vor dem Klonen von vergifteten Git-Repositorys

Sicherheitsupdate: Vorsicht vor dem Klonen von bösartigen Git-Repositorys

(Bild: Pixabay )

Die Git-Entwickler haben eine neue Version veröffentlicht, in der sie zwei Sicherheitslücken geschlossen haben.

Die freie Software zur verteilten Versionsverwaltung Git ist verwundbar, warnen die Entwickler [1]. Unter bestimmten Voraussetzungen könnten Angreifer mittels manipulierter Git-Repositorys Schadcode auf Computern von Opfern ausführen. Wer Git einsetzt, sollte die abgesicherte Version zügig installieren.

Um die Schwachstelle (CVE-2018-11235) zum Ausführen von Schadcode ausnutzen zu können, müssen Angreifer ein mit bestimmten Submodulen präpariertes Git-Repo in Umlauf bringen. Klont jemand dieses, könnte es zur Ausführung von Schadcode auf dem Computer eines Opfers kommen. Ein Sicherheitsforscher von Microsoft hat weitere Details zu der Lücke [2] zusammengetragen.

In der aktuellen Ausgabe 2.17.1 und 2.17.1 (2) für Windows [3] haben die Entwickler die Sicherheitslücken geschlossen. Zusätzlich bringt der Patch einen serverseitigen Schutz mit. Damit können Hosting-Services bösartige Repos erkennen und den Upload blockieren.

Nutzen Angreifer die zweite Lücke (CVE-2018-11233) aus, sollen sie unter bestimmten Voraussetzungen Speicherinhalte auslesen können. (des [4])


URL dieses Artikels:
http://www.heise.de/-4061550

Links in diesem Artikel:
[1] https://marc.info/?l=git&m=152761328506724&w=2
[2] https://blogs.msdn.microsoft.com/devops/2018/05/29/announcing-the-may-2018-git-security-vulnerability/
[3] https://github.com/git-for-windows/git/releases/tag/v2.17.1.windows.2
[4] mailto:des@heise.de