Versionsverwaltung: Git schließt zwei kritische Lücken in Version 2.39
Sicherheitsforscher haben Lücken in Git entdeckt, durch die beliebiger Code ausgeführt werden konnte. Patches stehen bereit, Nutzer sollten umgehend updaten.
(Bild: JLStock/Shutterstock.com)
- Matthias Parbel
In der Versionsverwaltungssoftware Git haben sich zwei Sicherheitslücken aufgetan, durch die potenzielle Angreifer beliebigen Code einschleusen und ausführen konnten. Entdeckt wurden die Schwachstellen (CVE-2022-41903 und CVE-2022-23521) im Rahmen eines vom Open Source Technology Improvement Fund (OSTIF) geförderten Security-Audits von Sicherheitsexperten der deutschen X41 D-Sec GmbH sowie einem GitLab-Team.
Zwei kritische Lücken zum Einschleusen von Code
Die kritischsten gefundenen Schwachstellen betreffen laut X41-Audit den Git-Mechanismus zum Formatieren von Commits, wie er beispielsweise in git log --format oder git archive zum Einsatz kommt). Die Schwachstellen ermöglichen es Angreifern, Code auszuführen, indem sie etwa bei Clone- oder Pull-Operationen eine Heap-basierte Speicherkorruption auslösen, durch einen Integer Overflow beim Verarbeiten von Padding-Operatoren wie %<( und %>(.
Die in CVE-2022-23521 beschriebene Sicherheitslücke steht im Zusammenhang mit gitattributes, das Entwicklerinnen und Entwickler verwenden, um eindeutige Attribute zu definieren, die Pfaden im zugehörigen Repository entsprechen. Der zum Lesen von gitattributes-Dateien bisher verwendete Parser kann ebenfalls zu Integer Overflows führen – insbesondere beim Parsen aus dem Index –, die sich gezielt zum Codeausführen ausnutzen lassen.
Schwachstelle im Git GUI für Windows geschlossen
Mit Veröffentlichung der zum Download bereitstehenden Version Git 2.39.1 wurden die Schwachstellen behoben. Zu den Patches haben das GitLab Security Research Team, GitHub-Ingenieure sowie verschiedene Mitglieder der git-security-Mailingliste beigetragen. Im Zuge des Updates wurde außerdem eine weitere windowsspezifische Sicherheitslücke in Git GUI geschlossen, die beim Clonen von Repositories auftreten kann (CVE-2022-41953).
Git-Anwenderinnen und -Anwender sind aufgefordert, umgehend auf Git 2.39.1 zu aktualisieren. Weitergehende Informationen zu den behobenen Sicherheitslücken finden sich unter anderem in einem Blogbeitrag von GitHub sowie in dem zum Download bereitliegenden Security-Report von X41 (PDF).
(map)