Sicherheitsupdate: Vorsicht vor dem Klonen von vergifteten Git-Repositorys

Die freie Software zur verteilten Versionsverwaltung Git ist verwundbar, warnen die Entwickler. Unter bestimmten Voraussetzungen könnten Angreifer mittels manipulierter Git-Repositorys Schadcode auf Computern von Opfern ausführen. Wer Git einsetzt, sollte die abgesicherte Version zügig installieren.

Um die Schwachstelle (CVE-2018-11235) zum Ausführen von Schadcode ausnutzen zu können, müssen Angreifer ein mit bestimmten Submodulen präpariertes Git-Repo in Umlauf bringen. Klont jemand dieses, könnte es zur Ausführung von Schadcode auf dem Computer eines Opfers kommen. Ein Sicherheitsforscher von Microsoft hat weitere Details zu der Lücke zusammengetragen.

Gefixte Versionen

In der aktuellen Ausgabe 2.17.1 und 2.17.1 (2) für Windows haben die Entwickler die Sicherheitslücken geschlossen. Zusätzlich bringt der Patch einen serverseitigen Schutz mit. Damit können Hosting-Services bösartige Repos erkennen und den Upload blockieren.

Nutzen Angreifer die zweite Lücke (CVE-2018-11233) aus, sollen sie unter bestimmten Voraussetzungen Speicherinhalte auslesen können. (des)