Sicherheitslücke in Versionskontrolle Git
Git-Anwendern wird dringend empfohlen, auf die nun freigegebenen neuesten Releases der Versionskontrolle zu aktualisieren, da eine Lücke ermöglicht, dass Angreifer die Git-Konfigurationen überschreiben können.
- Alexander Neumann
Die jetzt freigegebene Version 2.2.1 der verteilten Versionskontrolle Git beseitigt eine Sicherheitslücke (CVE-2014-9390), mit der Angreifer eine Repository-spezifische Konfiguration überschreiben oder Git-Repositories erstellen können, die bereits beim Klonen Skripte ausführen. Von der Schwachstelle sind offenbar Windows- und Mac-OS-X-Anwender betroffen, nicht aber Linux-/Unix-Systeme, insofern sie auf case-sensitiven Dateisystemen basieren.
Da auch ältere, aber noch gewartete Releases von der Lücke betroffen sind, haben die Git-Entwickler für diese die Versionen 1.8.5.6, 1.9.5, 2.0.5 und 2.1.4 veröffentlicht, die die Schwachstelle ebenfalls schließen. Darüber hinaus wurden Git-Implementierungen beziehungsweise -Portierungen wie Git for Windows, Git OS X Installer, JGit/EGit sowie libgit2 und damit verbunden Visual Studio ebenfalls aktualisiert. Da das Problem auf Clientseite liegt, sollte das Risiko wohl nicht bei Git-Repositorys gegeben sein, die beim Git nutzenden Hosting-Dienst GitHub liegen.
Interessanterweise wurde das Problem offenbar entdeckt, als die Entwickler des Git-Konkurrenten Mercurial den gleichen Fehler in ihrem Werkzeug fanden und sich danach Git anschauten und auch dort auf die Lücke aufmerksam wurden. Darauf traten sie mit den Git-Entwicklern in Kontakt und tauschten sich bis zur Lösung des Problems und der damit verbundenen Ankündigung aus. (ane)
