Versionsverwaltung Git 2.30.2. behebt Sicherheitslücke beim Klonen
Die Schwachstelle ermöglicht unter bestimmten Umständen das Ausführen von Skripten beim Klonen von Repositories.
(Bild: antb/Shutterstock.com)
Für die Versionsverwaltung Git ist der Patch-Release 2.30.2 verfügbar, der eine Schwachstelle beim Ausführen des Befehls git clone schließt. Verwundbar sind Systeme mit einem Dateisystem, das nicht zwischen Groß- und Kleinschreibung unterscheidet. Dazu gehören mit NTFS, HFS+ und APFS (Apple File System) die Standarddateisysteme von Windows und macOS.
Durch den Filter besudelt
Die Schwachstelle ermöglicht während des Klonens das Ausführen eines frisch ausgecheckten Skripts. Damit der Angriff erfolgreich ist, müssen auf dem Zielsystem Clean/Smudge-Filter konfiguriert sein. Das ist bei Git für Windows standardmäßig der Fall, um Git LFS (Large File Storage) nutzen zu können. Git LFS ist eine Open-Source-Erweiterung aus dem Hause GitHub, die auf das Versionieren großer Dateien zielt. Diese liegen nicht direkt im Repository, sondern in einem externen Large File Storage.
Ein Clean-Filter kümmert sich beim Check-in um das Bereinigen der Daten, indem er die eigentliche Datei im LFS-Cache ablegt und für das Repository einen Zeiger darauf erzeugt. Beim Checkout greift der Smudge-Filter. Smudge lässt sich mit beschmutzen oder besudeln übersetzen, und passend zum Namen fügt der Filter die umfangreiche Datei aus dem LFS-Store beziehungsweise -Cache wieder in die auszulesenden Inhalte ein.
Vorsicht und Vorsorge
Der nun veröffentlichte Patch schließt die als CVE-2021-21300 geführte Schwachstelle. Wer ihn nicht direkt installieren kann, sollte vorsichtshalber symbolische Verknüpfungen in Git deaktivieren, die neben dem Clean/Smudge-Filter eine Voraussetzung für das Ausnutzen der Vulnerability ist. Dazu dient folgender Befehl:
git config --global core.symlinks falseWer globale Clean/Smudge-Filter deaktiviert, ist ebenfalls auf der sicheren Seite. Unabhängig davon weist der zugehörige Security-Hinweis im GitHub-Repository von Git darauf hin, dass Entwicklerinnen und Entwickler möglichst grundsätzlich keine Repository aus nicht vertrauenswürdigen Quellen klonen sollten. Das Update auf Version 2.30.2 ist auf der Git-Seite verfügbar. Der Sourcecode findet sich im GitHub-Repository.
(rme)
