Sicherheits-Update für Versionsverwaltungssystem Git
Das von den Linux-Kernel-Entwicklern bevorzugte Tool Git weist Buffer Overflows auf, durch die ein Angreifer das System eines Entwicklers kompromittieren könnte.
- Daniel Bachfeld
Das freie Versionsverwaltungssystem Git weist mehrere Schwachstellen auf, durch die ein Angreifer das System eines Git-Anwenders kompromittieren kann. Schuld sind Buffer Overflows bei der Verarbeitung von Pfadnamen im Repository, wenn diese länger als der auf dem System definierte PATH_MAX-Wert ist. Die Überläufe treten in den Funktionen diff_addremove und diff_change bei Verwendung der Befehle git-diff und git-grep auf. Durch die Fehler soll es möglich sein, Code auf den Stack der Anwendung zu schleusen und zu starten. Für einen erfolgreichen Angriff muss das Opfer allerdings auf ein präpariertes Repository zugreifen.
Betroffen ist die Version 1.5.6.3, möglicherweise stecken die Fehler auch in vorherigen Versionen. Im Update 1.5.6.4 sind die Fehler behoben. Git ist das bervorzugte Quellcode-Verwaltungssystems der Linux-Kernelentwickler und wurde ursprünglich von Linus Torvalds entwickelt.
Siehe dazu auch:
- GIT v1.5.6.4 Release Notes, Mitteilung auf kernel.org
- PATCH Fix buffer overflow in git diff, Patchbeschreibung für git-diff
(dab)
