Bösartige Repositories können Schadcode über Git ausführen

Zwei Sicherheitslücken, welche die Git-Entwickler inzwischen geschlossen haben, ermöglichen Angriffe auf ungepatchte Git-Server und -Clients. Angreifer können so Schadcode einschleusen und ausführen.

In Pocket speichern vorlesen Druckansicht 27 Kommentare lesen
Remote Code Execution in Git

(Bild: Git)

Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Die Entwickler der Versionsverwaltungs-Software Git haben jüngst zwei Sicherheitslücken geschlossen, die es Angreifern ermöglichen, aus der Ferne Schadcode auf dem Zielrechner auszuführen. Gefährdet sind sowohl Server als auch Git-Client-Systeme. Betroffen sind die Versionszweige 1.7.x, 1.9.x und 2.x.

Eine der Lücken wurde mit Git 2.7.1 geschlossen (aktuell ist Git 2.7.4), die andere wird mit Version 2.8 gestopft, die noch nicht offiziell erschienen ist. Die meisten Linux-Distributionen haben beide Patches in die von ihnen verteilten Git-Pakete eingebaut. Admins sollten sicherstellen, dass sie die neuesten Git-Version für ihr System verwenden.

Beide Fehler (CVE-2016-2315 und CVE-2016-2324) stecken in der Funktion path_name(), welche den Namen einer Datei an einen Pfad in der Repository-Struktur anhängt. Angreifer können bösartige Repositories mit sehr langen Dateinamen erstellen, die beim Verarbeiten durch Git einen Integer-Überlauf auslösen und so die Ausführung von Schadcode ermöglichen. Git 2.7.1 fixt eine der Lücken in path_name(), mit Version 2.8 haben sich die Entwickler allerdings entschieden, die Funktion komplett zu entfernen und durch eine sicherere Funktion zu ersetzen.

Für die Entdeckung der Bugs erhielt der Sicherheitsforscher Laël Cellier 5000 Punkte im GitHub-Bug-Bounty-Programm. Diese Punktzahl wird nur für sehr ernste Sicherheitslücken vergeben. (fab)