Kritische Schwachstelle in Git behoben
- Warnmeldung
In Git wurden fünf Sicherheitslücken behoben, darunter eine kritische. Durch sie ist eine Remote-Code-Ausführung möglich. Weitere Schwachstellen betreffen die Sicherheit beim Klonen von Repositorys, insbesondere bei Verwendung von zip-Dateien und symbolischen Links.
© Jason Long
Kritische Sicherheitslücke ermöglicht Remote Code Execution
Die behobenen Schwachstellen betreffen mehrere Betriebssysteme. Bei der als kritisch eingestuften Sicherheitslücke CVE-2024-32002 ist eine Remote-Code-Ausführung durch manipulierte Submodule möglich.
Git ist die Grundlage der Plattformen GitHub sowie GitLab und wird häufig in der Software-Entwicklung zur Versionskontrolle eingesetzt.
Eckdaten zu der kritischen Schwachstelle
CVE-Nummer: CVE-2024-32002
CVSS-Base-Score: 9.1 (kritisch)
Empfehlungen der CSBW
Um die Risiken zu minimieren, die durch diese Schwachstellen entstehen, empfiehlt die CSBW folgende Maßnahmen:
- Aktualisieren Sie alle Git-Installationen auf die neueste Version. Dies gilt für alle betroffenen Plattformen.
- Vermeiden Sie unsichere Klon-Quellen. Klonen Sie keine Repositorys aus unzuverlässigen Quellen, insbesondere keine zip-Dateien, die vollständige Repositorys enthalten.
- Nutzen Sie die neuen Sicherheitsfunktionen von Git. Dazu gehören das Warnen vor symbolischen Links im .git/-Verzeichnis und die gesicherte Ausführung von Hooks.
- Sensibilisieren Sie Ihr Entwicklungs-Team für diese Sicherheitsrisiken. Stellen Sie sicher, dass es die neuen Sicherheitsrichtlinien und Best Practices befolgt.
- Führen Sie regelmäßige Sicherheitsüberprüfungen Ihrer Git-Repositorys durch und entfernen Sie potenziell gefährliche Konfigurationen und Hooks.