Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.684.756 Produkten

Fabian A. Scherschel 48

Git, Mercurial, SVN: Versionskontrollsysteme über SSH-Befehle angreifbar

Git, Mercurial, SVN: Versionskontrollsysteme über SSH-Befehle angreifbar

Bild: Fabian A. Scherschel, heise online

So gut wie alle Versionskontrollsysteme lassen sich über einen Trick mit einer merkwürdigen SSH-URL dazu bringen, fast beliebige Befehle auszuführen. Patches stehen bereit.

Eine Reihe der beliebtesten Versionskontrollsysteme (Git, Mercurial und Apache Subversion / SVN) sind angreifbar, wenn man es schafft, dem Anwender einen speziellen Hostnamen für den SSH-Befehl unterzuschieben. Da führt dazu, dass das der Client des Versionskontrollsystems die URL als Options-Flag interpretiert und in der URL enthaltene Befehle ohne Prüfung ausführt. Die betroffenen Tools wurden bereits von den Entwicklern mit Updates versorgt, die ein solches Verhalten ab sofort verhindern sollen.

Anzeige

Das Problem liegt darin begründet, dass die Tools wie Git bei der Verbindung mit einer URL über SSH diese als auszuführenden Befehl interpretieren, wenn sie mit einem Bindestrich beginnt. Im Client können Nutzer für den Zugriff normalerweise ssh://example.com verwenden, um eine SSH-Verbindung zum Repository unter example.com aufzubauen. Wie ein Mitarbeiter von Recurity Labs nun herausfand, wird ssh://-oProxyCommand=some-command allerdings nicht als Hostname, sondern als Switch für SSH (-o ProxyCommand) interpretiert. Der Git-Client führt die angehängten Befehle dann mit seinen normalen Rechten aus, was für Angriffe missbraucht werden könnte.

Nutzer sind zum Beispiel angreifbar, wenn sie ein Repository über SSH klonen wollen und dabei die merkwürdige URL nicht beachten. So etwas könnte man zum Beispiel in einem Skript oder einer Konfigurationsdatei für das Versionskontrollsystem verstecken. Ähnlich wie das Git-Team (CVE-2017-1000117) haben auch die Entwickler von SVN (CVE-2017-9800) und Mercurial (CVE-2017-1000116) das Problem bereits beseitigt. Nutzer sollten Updates für diese Tools deshalb umgehend installieren. Das Uralt-Versionskontrollsystem CVS soll ebenfalls betroffen sein. Da dies aber seit bereits über zehn Jahren nicht mehr aktualisiert wird, ist hier wohl mit keinem Sicherheitsupdate zu rechnen. (fab)

48 Kommentare

Themen:

Anzeige
  1. Gefährliche SSH-Befehle: Kritische Sicherheitslücke in GitLab

    Gefährliche SSH-Befehle: Kritische Sicherheitslücke in GitLab

    Viele Versionskontrollsysteme haben eine Sicherheitslücke, die es Angreifern ermöglicht, Schadcode auszuführen. Beim Webfrontend GitLab ist dies besonders brisant. Admins sollten Installationen der Software umgehend aktualisieren.

  2. Versionskontrollsytem: Git 2.14 enthält viele kleine Neuerungen

    Versionskontrollsytem: Git 2.14 enthält viele kleine Neuerungen

    Die aktuelle Version des aus der Linux-Entwicklung hervorgegangenen Quellcode-Verwaltungssoftware unterstützt nun PCRE 2 und bringt Neuerungen bei den Befehlen git diff und git status.

  3. Mehrere Sicherheitslücken in RubyGems

    Verschlossene Tür, Schloss, Sicherheit

    Rubys Paketsystem RubyGems enthält Schwachstellen, die unter anderem DoS-Angriffe und DNS-Hijacking ermöglichen. Ein Update auf die aktuelle Version 2.6.13 bannt die Gefahr.

  4. Cloud Build jetzt mit Git-LFS-Support

    Cloud Build jetzt mit Git-LFS-Support

    Cloud Build goes large: Mit dem Support für Git Large File Storage (LFS) können Nutzer des Continuous-Integration-Services größere Builds in Cloud Build kreieren.

  1. Platform as a Service mit deis.io

    Platform as a Service mit deis.io

    Entwickler wollen ihre Software möglichst einfach dort haben, wo sie den Anwendern Nutzen bringt. Mit dem Modell der 12-Factor Apps und Deis Workflow steht eine Plattform bereit, die vieles an Bereitstellung und Betrieb automatisiert.

  2. Admin-Parcours: Was geht ab im LAN?

    Admin-Parcour: Was geht ab im LAN?

    Admins müssen etliche Hürden nehmen, um große Netze zu verwalten. Eine der Prüfungen befördert normalsterbliche Admins zum Cisco Certified Network Professional. Könnten Sie die Prüfung bestehen?

  3. Docker-Windows-Container mit Ansible managen (1/2)

    Docker-Windows-Container mit Ansible managen

    Vorwiegend im Java-Universum bekannte DevOps-Tools wie Ansible, Vagrant und Packer verwalten neuerdings auch Windows-Maschinen. Umgekehrt ermöglichen es Docker-Windows-Container, Spring-Boot-Anwendungen unter Windows laufen zu lassen.

  1. MicroSD-Karte mit einem halben Terabyte

    MicroSD-Karte mit einem halben Terabyte

    Der britische Herstelller Integral hat eine MicroSD-Karte mit einer Kapazität von 512 GByte Speicherkapazität angekündigt. Die Karte soll im Februar auf den Markt kommen.

  2. DJI Mavic Air geleakt: 4K-Drohne mit 21 Minuten Flugzeit

    DJI Mavic Air geleakt: 4K-Drohne mit 21 Minuten Flugzeit

    Schon vor der offiziellen Präsentation sind Bilder und Daten der DJI Mavic Air im Netz gelandet. Bei dem neuen Quadrocopter handelt es sich um eine Mischung aus Mavic Pro und der preiswerten Minidrohne Spark.

  3. Indien: Die Entlarvung des Heilsbringers

    Vor dreieinhalb Jahren haben viele Inder Narendra Modi gewählt, weil sie seinen Versprechen "Wohlstand für alle" und "Ende mit der Korruption" glauben wollten - doch mittlerweile ist klar, dass Modi ein Mann der Konzerne und ihrer Helfer ist

  4. Test: Jaguar XF Sportbrake 25d

    Jaguar XF Sportbrake

    Zwei Jahre nach der Limousine ist der Jaguar XF endlich auch als Kombi zu haben. Formal darf der als gelungen gelten, doch Schönheit allein wird ihm in dieser Klasse keinen dauerhaften Erfolg bringen. Wie fährt sich der XF Sportbrake mit dem 240-PS-Diesel? Ein Test sollte das klären

Anzeige