Versionsverwaltung: Erneute Sicherheitswarnung fĂĽr Git
Updates beheben eine Schwachstelle in Git, die der jüngsten ähnelt und ebenfalls die Credential-Helper-Programme betrifft.
Die Entwickler von Git haben Security-Patches für die Versionen 2.17 bis 2.26 veröffentlicht. Die behobene Schwachstelle ähnelt der, die das Team eine Woche zuvor gefunden und behoben hat. Erneut sind Nutzer betroffen, die sogenannte Credential Helpers verwenden, auch wenn sich der nun behobene Fehler nicht so gezielt ausnutzen lässt wie der vorherige.
Credential Helpers sind Hilfsprogramme, die Git mit Nutzernamen und Passwörtern für die Zusammenarbeit mit einem Remote Repository versorgen. Ein Beispiel ist der git-credential-cache
zum temporären Speichern von Passwörtern im Speicher. Beim Durchführen von Befehlen wie git clone https://meine-url.de
ruft Git die Credentials fĂĽr die entsprechende Domain von den Credential Helpers ab.
Keine freie Host-Auswahl fĂĽr Angreifer
Wie bei der Mitte April gefundenen Schwachstelle lässt sich der Mechanismus mit speziell zugeschnittenen URLs in sofern missbrauchen, dass die Credentials an einen Host gehen, der dafür nicht vorgesehen ist. Dazu muss die URL Zeilenumbrüche oder einen leeren Host-Parameter aufweisen beziehungsweise kein Schema besitzen.
Allerdings können Angreifer im Gegensatz zur vorherigen Schwachstelle keine eigenen Hosts angeben, um die vertraulichen Daten abzufangen, sondern das Ziel ist von der Konfiguration der Credential Helpers abhängig. Konkret bestimmt die Weise, wie die Hilfsprogramme mit einem fehlenden host
-Parameter umgehen, das Ziel.
Updates und Selbsthilfe
Die aktuellen Versionen Git v2.26.2 bis zurück zu v2.17.5 beheben die Schwachstelle, indem Git die Zusammenarbeit mit nicht ausreichend spezifizierten Credential-Mustern verweigert. Wer eine ältere Git-Version nutzt, muss manuell einen Patch einpflegen. Wer Credential Helpers nicht benötigt, kann sie vorsichtshalber folgendermaßen deaktivieren:
git config --unset credential.helper
git config --global --unset credential.helper
git config --system --unset credential.helper
Weitere Details finden sich in einer Mail von der Linux Kernel Mailing List. Beim Schreiben dieser Meldung war der laut der Mail zugehörige CVE-Eintrag CVE-2020-11008 zwar reserviert aber noch nicht ausgefüllt. (rme)