Wichtiges Sicherheitsupdate für Git: Version 2.45.1 behebt kritische Lücken in Clients – Update dringend empfohlen!

Git, das beliebte Versionsverwaltungssystem, hat vor kurzem ein wichtiges Sicherheitsupdate veröffentlicht. Die neue Version 2.45.1 behebt insgesamt fünf Sicherheitslücken in den Clients und führt umfassende Schutzmaßnahmen ein. Es wird dringend empfohlen, das Update umgehend durchzuführen.

Die Sicherheitslücken betreffen alle gängigen Betriebssysteme wie Windows, macOS, Linux-Distributionen und BSDs. Die Auswirkungen der Lücken sind auf das Klonen von Repositories beschränkt. Eine der Sicherheitslücken wird als kritisch eingestuft, während zwei als hoch eingestuft werden.

Eine kritische Sicherheitslücke betrifft bösartige Repositories mit Untermodulen und kann dazu führen, dass Daten beim Klonen nicht in das entsprechende Arbeitsverzeichnis, sondern in den Ordner .git/ abgelegt werden. Dies kann durch manipulierte symbolische Links erreicht werden. In diesem Fall besteht die Möglichkeit, dass der Angreifer Hooks (automatisch startende Skripte) während des laufenden Git-Betriebs ausführen kann.

Eine der hoch eingestuften Sicherheitslücken ermöglicht es einem Angreifer, ein lokales Repository als unvollständigen Klon zu modellieren. Beim Klonen kann der Angreifer beliebigen Code mit den Rechten des Klonenden ausführen. Die andere hoch eingestufte Sicherheitslücke betrifft das Klonen von Repositories aus Zip-Dateien. Dadurch können Schutzmaßnahmen umgangen werden, wodurch Angreifer unsichere Hooks einschleusen können.

Zusätzlich gibt es zwei weitere Sicherheitslücken, die als niedrig eingestuft werden. Eine betrifft die Manipulation von Hardlinks in der Objektdatenbank des geklonten Repos auf Mehrbenutzerrechnern, während die andere die Möglichkeit für Angreifer betrifft, symbolische Links zu missbrauchen und Hardlinks im Verzeichnis objects/ anzulegen.

Um die Sicherheitslücken zu beheben, sollten sowohl Benutzerinnen und Benutzer die eigenständigen Git-Programme als auch die Plugins in ihren Entwicklungsumgebungen aktualisieren. Visual Studio wird automatisch aktualisiert, während Benutzer von VS Code die neue Git-Version eigenständig im Terminal installieren müssen, indem sie den Befehl git update-git-for-windows ausführen.

Es ist wichtig zu beachten, dass das Sicherheitsupdate von Git die Clients betrifft und nicht den Repository-Dienst selbst. In letzter Zeit wurden mehrere Angriffe auf Repository-Dienste bekannt, daher ist es ratsam, auch hier wachsam zu sein.

Das Git-Team empfiehlt allen Nutzern dringend, das Update so schnell wie möglich durchzuführen. Sollte ein sofortiges Update nicht möglich sein, wird darum gebeten, beim Klonen von Repositories vorsichtig zu sein. Für besonders vorsichtige Benutzerinnen und Benutzer besteht außerdem die Möglichkeit, Git anzuweisen, Warnungen vor symbolischen Links auf das Verzeichnis .git/ als Fehler zu behandeln.

Es ist auch wichtig zu beachten, dass der neue Defense-in-Depth-Schutz von Git einen Fehler beim Klonen von Repositories mit Large-File-Storage verursachen kann. Benutzerinnen und Benutzer sollten daher besonders darauf achten und gegebenenfalls entsprechende Maßnahmen ergreifen.

Die Sicherheit der eigenen Daten und Projekte hat höchste Priorität. Durch das zeitnahe Einspielen des Updates können potenzielle Sicherheitsrisiken minimiert werden.

Schlagwörter: macOS + Windows + VS

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 18. Mai 2024