Sicherheitslücken in Git erlauben Remote Code Execution

Table of Contents

Die Git-Community hat heute mehrere neue Versionen veröffentlicht, um fünf kritische Sicherheitslücken zu beheben. Ein Upgrade auf die neueste Git-Version ist unerlässlich, um sich vor diesen Schwachstellen zu schützen.

Git, ein zentrales Tool im Softwareentwicklungsprozess, hat in seiner neuesten Version 2.45.1 vom 14. Mai 2024 fünf Sicherheitslücken geschlossen. Diese betreffen Windows, macOS, Linux und *BSD, sodass die Updates für alle Plattformen wichtig sind. Die neue Version wurde in Zusammenarbeit mit Visual Studio und GitHub Desktop veröffentlicht, die beide Git als Bestandteil enthalten.

Die Schwachstellen im Detail:

  1. CVE-2024-32002 (Kritisch, Windows & macOS):
    Git-Repositories mit Submodulen können Git dazu verleiten, einen Hook aus dem .git/ Verzeichnis während eines Klonvorgangs auszuführen, was zu Remote Code Execution führt.
  2. CVE-2024-32004 (Hoch, Multi-User-Maschinen):
    Ein Angreifer kann ein lokales Repository erstellen, das bei der Klonung beliebigen Code ausführt.
  3. CVE-2024-32465 (Hoch, alle Setups):
    Das Klonen von .zip-Dateien, die Git-Repositories enthalten, kann Schutzmechanismen umgehen und unsichere Hooks ausführen.
  4. CVE-2024-32020 (Niedrig, Multi-User-Maschinen):
    Lokale Klone auf demselben Laufwerk können es untrusted Benutzern ermöglichen, hart verlinkte Dateien im Objekt-Repository zu ändern.
  5. CVE-2024-32021 (Niedrig, Multi-User-Maschinen):
    Das Klonen eines lokalen Repositories mit Symlinks kann zu Hardlinks auf beliebige Dateien im objects/ Verzeichnis führen.

Ein sofortiges Upgrade auf die neueste Git-Version ist dringend empfohlen. Wenn ein Upgrade nicht sofort möglich ist, sollten Nutzer vorsichtig sein, von welchen Quellen sie Repositories klonen.

Die Hauptthematik dieser Sicherheitsupdates ist die Verbesserung der Sicherheit beim Klonen von Git-Repositories. Git hat stets angestrebt, dass das Klonen auch unzuverlässiger Repositories sicher ist und dass solche Repositories von potenziell bösartigen Konfigurationen und Hooks bereinigt werden können. Diese Prinzipien sind in diesem Release klar dokumentiert.

Neben den spezifischen Sicherheitsupdates wurden auch zusätzliche Maßnahmen ergriffen, um die Schwere künftiger Sicherheitsprobleme zu verringern. Dazu gehören:

  • Verbesserte Handhabung von Symlinks und Verzeichnissen während des Klonvorgangs.
  • Sichereres Ausführen von Hooks, um unerlaubte Codeausführung zu verhindern.
  • Schutz der Konfigurationseinstellungen für das Git-Templates-Verzeichnis.
  • Warnungen über Symlinks, die auf das .git/ Verzeichnis verweisen.

Related Posts

Hackerangriff auf Landtechnik Hersteller Lemken stoppt Produktion

Der Landtechnikhersteller Lemken ist Opfer eines Hackerangriffs geworden, der das Unternehmen zur Einstellung der Produktion gezwungen hat. Seit dem Angriff am Samstag, dem 11. Mai 2024, bleiben an den Standorten weltweit viele Bildschirme schwarz und die Produktion ist zum Erliegen gekommen.

Read More

Kritische Sicherheitslücke bei HPE Aruba Access Points entdeckt

Hewlett Packard Enterprise (HPE) hat eine dringende Sicherheitswarnung für Nutzer von Aruba Access Points veröffentlicht. Die Sicherheitsforscher haben mehrere schwerwiegende Sicherheitslücken in den Betriebssystemen ArubaOS und InstantOS identifiziert, die das Unternehmen als kritisch einstuft. Insgesamt sind 18 Sicherheitslücken (CVE-2024-31466 bis CVE-2024-31483) betroffen, die in einem kürzlich veröffentlichten Sicherheitsbericht detailliert beschrieben werden.

Read More

Kritische Sicherheitslücke CVE-2024-22026 in Ivanti EPMM entdeckt

Ivantis Enterprise Mobility Management Platform (EPMM), ehemals bekannt als “MobileIron Core”, weist eine schwerwiegende Sicherheitslücke (CVE-2024-22026) auf, die lokale Privilegieneskalation über den Befehl [install rpm url] in der eingeschränkten Shell (clish) ermöglicht. Diese Schwachstelle betrifft Versionen vor 12.1.0.0, 12.0.0.0 und 11.12.0.1 und wurde mit den neuesten Updates von Ivanti behoben.

Read More