Eine Reihe der beliebtesten Versionskontrollsysteme sind angreifbar, darunter Git, Mercurial und Apache Subversion / SVN. Dazu muss der Angreifer dem Anwender einen speziellen Hostnamen für einen SSH-Befehl unterschieben.

Der Client des Versionskontrollsystems interpretiert die URL dadurch als Options-Flag und die in der URL enthaltenen Befehle werden ohne Prüfung ausgeführt. Von den Entwicklern wurden die betroffenen Tools bereits mit Updates versorgt, wodurch ein solches Verhalten verhindert werden sollte.

Angreifbar sind Nutzer beispielsweise, wenn sie ein Repository über SSH klonen wollen und dabei die merkwürdige URL nicht beachten. Dies könnte in einem Skript oder einer Konfigurationsdatei für das Versionskontrollsystem versteckt werden. Die Entwickler von SVN (CVE-2017-9800) und Mercurial (CVE-2017-1000116) haben ähnlich wie das Git-Team (CVE-2017-1000117) das Problem bereits beseitigt. Um den Fehler zu beseitigen, sollten Nutzer die Updates für diese Tools installieren. Das Versionskontrollsystem CVS ist wahrscheinlich ebenfalls betroffen. Da dies bereits zehn Jahre nicht aktualisiert wurde, ist hier allerdings mit keinem Update zu rechnen.

(ms, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE