Die Sicherheitslücke (CVE-2014-9390), über welche Angreifer Git-Repositories erstellen oder eine Repository-spezifische Konfiguration überschreiben können, wird mit der freigegebenen Version 2.2.1 der verteilten Versionskontrolle Git beseitigt. Offenbar sind Mac-OS-X- und Windows-Anwender von der Schwachstelle betroffen, nicht aber Linux-/Unix-Systeme, sofern diese auf case-sensitiven Dateisystemen basieren.

Die Git-Entwickler haben auch für ältere, noch gewartete Releases Aktualisierungen veröffentlicht, da auch diese von der Lücke betroffen sind. Die Versionen 1.8.5.6, 1.9.5, 2.0.5 und 2.1.4 schließen die Lücke ebenfalls für die jeweilige Version. Außerdem wurden Git-Portierungen wie Git OS X Installer, Git for Windows, libgit2 und damit verbunden Visual Studio und JGit/EGit ebenfalls aktualisiert.

Das Problem wurde interessanterweise durch die Entwickler des Git-Konkurrenten Mercurial bekannt. Sie hatten den gleichen Fehler in ihrem Werkzeug gefunden, worauf sie sich Git anschauten und auch dort fündig wurden. Sie traten daraufhin mit den Git-Entwicklern in Kontakt und tauschten sich bis zur Lösung des Problems und der damit verbundenen Ankündigung aus.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE