Sicherheitslücke: Git liefert Patch für Windows- und Multi-User-Systeme
Das Update Git v2.35.2 soll die von GitHub gemeldete Schwachstelle CVE-2022-24765 beheben.
(Bild: JLStock/Shutterstock.com)
Die von der Versionsverwaltungsplattform GitHub am 12. April 2022 in der National Vulnerability Database des NIST gemeldete Schwachstelle CVE-2022-24765 beschreibt eine potenzielle Sicherheitslücke in lokalen Git-Installationen, von der insbesondere Git for Windows sowie Multi-User-Systeme betroffen sein können. GitHub selbst sowie dessen Nutzerinnen und Nutzer seien davon nicht unmittelbar berührt, die Plattform rät dennoch zum zügigen Upgrade auf das von Git bereitgestellte Maintenance Release v2.35.2.
Schwachstelle auf Mehrbenutzersystemen
Wie aus der CVE-Beschreibung hervorgeht, könnten Angreifer auf Mehrbenutzersystemen ein .git-Verzeichnis auf einer gemeinsam genutzten Ebene oberhalb des primären Arbeitsverzeichnisses anlegen. Unter Windows eröffnet sich dadurch die Möglichkeit, beispielsweise C:\.git\config zu erstellen, sodass in der Folge alle Git-Aufrufe, die außerhalb eines Repositorys erfolgen, die dort konfigurierten Werte lesen. Da einige Konfigurationsvariablen wie core.fsmonitor Git dazu veranlassen können, beliebige Kommandos auszuführen, könnten Angreifer eigene Befehle in das System einschleusen und auslösen. Git v2.35.2 unterbindet Wechsel in ein Top-Level-Git-Verzeichnis, wenn dieser mit einem Benutzerwechsel einhergeht. Notwendige Abweichungen von diesem neuen Verhalten lassen sich in der ebenfalls neuen safe.directory-Konfiguration festlegen.
Eine weitere in CVE-2022-24767 beschriebene Sicherheitslücke, die das Platzieren potenziell schädlicher .dll-Dateien erlaubt, betrifft den Uninstaller von Git for Windows. Wird der Uninstaller von einem system-Account wie standardmäßig üblich im Temp-Verzeichnis des Nutzers ausgeführt, könnte ein beliebiger authentifizierter Benutzer dabei .dll-Dateien einschleusen, da die Standardberechtigungen von system dies für C:\Windows\Temp zulassen. Git for Windows v2.35.2 schließt diese Lücke.
Weitere Details zu den Schwachstellen finden sich im GitHub-Blog sowie in der Git-Projekt-Ankündigung zum Maintenance Release v2.35.2, das zeitgleich mit den weiteren Patches v2.30.3, v2.31.2, v2.32.1, v2.33.2, und v2.34.2 bereitgestellt wurde.
(map)
