git schließt mit Version 2.45.1 fünf Sicherheitslücken in den Clients und führt tiefgreifende Schutzmechanismen ein. Windows, macOS, Linux-Distributionen oder BSDs sind gefährdet. Das Klonen von Repositories ist von den Lücken betroffen.

Eine der Lücken wird als kritisch eingestuft, zwei als hoch. Das git-Team empfiehlt zum sofortigen Update und schreibt, „wenn ihr nicht sofort aktualisieren könnt, seid bitte vorsichtig, von wo ihr Repositories klont.“ Anwender von git sollten die Standalone-Programme und die Plugins in den Entwicklungsumgebungen aktualisieren.

Die kritisch eingestufte Sicherheitslücke ist CVE-2024-32002 für Windows und MacOS. git-Clients können von bösartigen Repos mit Untermodulen verwendet werden, Daten beim Klonen statt ins zugehörige Arbeitsverzeichnis in den Ordner .git/ abzulegen. Über manipulierte symbolische Links kann das passieren. Dort können Angreifer Hooks im laufenden git-Betrieb ausführen lassen.

Zudem führt git neue Sicherheitsmechanismen ein, um Bedrohungen entgegenzuwirken. Es soll mit einem besseren Umgang mit symbolischen Links beim Klonen verhindert werden, dass git Dateien an falscher Stelle schreiben kann. Nicht autorisierter Code wird gestoppt, da Hooks nun genauer geprüft werden. Vor versehentlichen oder böswilligen Änderungen ist die Hook-Konfiguration des git-Vorlagenverzeichnis nun geschützt. git warnt jetzt vor symbolischen Links auf das Verzeichnis .git/.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE