Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.735.090 Produkten

Fabian A. Scherschel 48

Git, Mercurial, SVN: Versionskontrollsysteme über SSH-Befehle angreifbar

Git, Mercurial, SVN: Versionskontrollsysteme über SSH-Befehle angreifbar

Bild: Fabian A. Scherschel, heise online

So gut wie alle Versionskontrollsysteme lassen sich über einen Trick mit einer merkwürdigen SSH-URL dazu bringen, fast beliebige Befehle auszuführen. Patches stehen bereit.

Eine Reihe der beliebtesten Versionskontrollsysteme (Git, Mercurial und Apache Subversion / SVN) sind angreifbar, wenn man es schafft, dem Anwender einen speziellen Hostnamen für den SSH-Befehl unterzuschieben. Da führt dazu, dass das der Client des Versionskontrollsystems die URL als Options-Flag interpretiert und in der URL enthaltene Befehle ohne Prüfung ausführt. Die betroffenen Tools wurden bereits von den Entwicklern mit Updates versorgt, die ein solches Verhalten ab sofort verhindern sollen.

Anzeige

Das Problem liegt darin begründet, dass die Tools wie Git bei der Verbindung mit einer URL über SSH diese als auszuführenden Befehl interpretieren, wenn sie mit einem Bindestrich beginnt. Im Client können Nutzer für den Zugriff normalerweise ssh://example.com verwenden, um eine SSH-Verbindung zum Repository unter example.com aufzubauen. Wie ein Mitarbeiter von Recurity Labs nun herausfand, wird ssh://-oProxyCommand=some-command allerdings nicht als Hostname, sondern als Switch für SSH (-o ProxyCommand) interpretiert. Der Git-Client führt die angehängten Befehle dann mit seinen normalen Rechten aus, was für Angriffe missbraucht werden könnte.

Nutzer sind zum Beispiel angreifbar, wenn sie ein Repository über SSH klonen wollen und dabei die merkwürdige URL nicht beachten. So etwas könnte man zum Beispiel in einem Skript oder einer Konfigurationsdatei für das Versionskontrollsystem verstecken. Ähnlich wie das Git-Team (CVE-2017-1000117) haben auch die Entwickler von SVN (CVE-2017-9800) und Mercurial (CVE-2017-1000116) das Problem bereits beseitigt. Nutzer sollten Updates für diese Tools deshalb umgehend installieren. Das Uralt-Versionskontrollsystem CVS soll ebenfalls betroffen sein. Da dies aber seit bereits über zehn Jahren nicht mehr aktualisiert wird, ist hier wohl mit keinem Sicherheitsupdate zu rechnen. (fab)

48 Kommentare

Themen:

Anzeige
  1. Gefährliche SSH-Befehle: Kritische Sicherheitslücke in GitLab

    Gefährliche SSH-Befehle: Kritische Sicherheitslücke in GitLab

    Viele Versionskontrollsysteme haben eine Sicherheitslücke, die es Angreifern ermöglicht, Schadcode auszuführen. Beim Webfrontend GitLab ist dies besonders brisant. Admins sollten Installationen der Software umgehend aktualisieren.

  2. Versionskontrollsytem: Git 2.14 enthält viele kleine Neuerungen

    Versionskontrollsytem: Git 2.14 enthält viele kleine Neuerungen

    Die aktuelle Version des aus der Linux-Entwicklung hervorgegangenen Quellcode-Verwaltungssoftware unterstützt nun PCRE 2 und bringt Neuerungen bei den Befehlen git diff und git status.

  3. Mehrere Sicherheitslücken in RubyGems

    Verschlossene Tür, Schloss, Sicherheit

    Rubys Paketsystem RubyGems enthält Schwachstellen, die unter anderem DoS-Angriffe und DNS-Hijacking ermöglichen. Ein Update auf die aktuelle Version 2.6.13 bannt die Gefahr.

  4. Cloud Build jetzt mit Git-LFS-Support

    Cloud Build jetzt mit Git-LFS-Support

    Cloud Build goes large: Mit dem Support für Git Large File Storage (LFS) können Nutzer des Continuous-Integration-Services größere Builds in Cloud Build kreieren.

  1. Platform as a Service mit deis.io

    Platform as a Service mit deis.io

    Entwickler wollen ihre Software möglichst einfach dort haben, wo sie den Anwendern Nutzen bringt. Mit dem Modell der 12-Factor Apps und Deis Workflow steht eine Plattform bereit, die vieles an Bereitstellung und Betrieb automatisiert.

  2. Admin-Parcours: Was geht ab im LAN?

    Admin-Parcour: Was geht ab im LAN?

    Admins müssen etliche Hürden nehmen, um große Netze zu verwalten. Eine der Prüfungen befördert normalsterbliche Admins zum Cisco Certified Network Professional. Könnten Sie die Prüfung bestehen?

  3. Docker-Windows-Container mit Ansible managen (1/2)

    Docker-Windows-Container mit Ansible managen

    Vorwiegend im Java-Universum bekannte DevOps-Tools wie Ansible, Vagrant und Packer verwalten neuerdings auch Windows-Maschinen. Umgekehrt ermöglichen es Docker-Windows-Container, Spring-Boot-Anwendungen unter Windows laufen zu lassen.

  1. Roboter übernehmen erstmals die Spargelernte

    Fabriken kehren aus China zurück

    Die Spargelsaison hat begonnen. Doch es wird immer schwerer, Feldarbeiter für die Ernte zu finden. Nun schicken sich erste autonome Maschinen an, den Job zu übernehmen.

  2. Keine Strafen: Österreich zieht neuem Datenschutz die Zähne

    Überlebensgroße Statuen, die herzlich lachen

    In letzter Minute nimmt Österreich der neuen EU-Datenschutzverordnung den Biss, die meisten Verstöße werden straffrei bleiben. Und Datenschutz-NGOs dürfen keinen Schadenersatz eintreiben.

  3. Zahlen, bitte! Hubble-Weltraumteleskop blickt 13,4 Milliarden Lichtjahre tief ins All

    Zahlen, bitte! Ein 13,4 Milliarden Jahre tiefer Lichtblick in die universelle Kinderstube.

    Seit genau 28 Jahren liefert das Hubble-Weltraumteleskop im All beeindruckende Bilder und lichtete sogar ein Objekt in der unvorstellbaren Entfernung von 13,4 Milliarden Lichtjahren ab.

  4. NASA-Teleskop Neowise: Hunderte erdnahe Objekte entdeckt, auch potenziell gefährliche

    NASA-Teleskop Neowise: Hunderte erdnahe Objekte entdeckt, auch potenziell gefährliche

    Seit seiner Reaktivierung scannt das Weltraumteleskop Neowise der NASA den Himmel unter anderem nach potenziell gefährlichen Objekten ab, die auf die Erde stürzen könnten. In den Daten zu Zehntausenden Himmelskörpern gibt es einige.

Anzeige