Logo von Security

Suche
Abonnieren

Tägliche Top-News bei WhatsApp, Facebook Messenger, Telegram & Insta

preisvergleich_weiss

Recherche in 1.508.171 Produkten

Fabian A. Scherschel 48

Git, Mercurial, SVN: Versionskontrollsysteme über SSH-Befehle angreifbar

Git, Mercurial, SVN: Versionskontrollsysteme über SSH-Befehle angreifbar

Bild: Fabian A. Scherschel, heise online

So gut wie alle Versionskontrollsysteme lassen sich über einen Trick mit einer merkwürdigen SSH-URL dazu bringen, fast beliebige Befehle auszuführen. Patches stehen bereit.

Eine Reihe der beliebtesten Versionskontrollsysteme (Git, Mercurial und Apache Subversion / SVN) sind angreifbar, wenn man es schafft, dem Anwender einen speziellen Hostnamen für den SSH-Befehl unterzuschieben. Da führt dazu, dass das der Client des Versionskontrollsystems die URL als Options-Flag interpretiert und in der URL enthaltene Befehle ohne Prüfung ausführt. Die betroffenen Tools wurden bereits von den Entwicklern mit Updates versorgt, die ein solches Verhalten ab sofort verhindern sollen.

Das Problem liegt darin begründet, dass die Tools wie Git bei der Verbindung mit einer URL über SSH diese als auszuführenden Befehl interpretieren, wenn sie mit einem Bindestrich beginnt. Im Client können Nutzer für den Zugriff normalerweise ssh://example.com verwenden, um eine SSH-Verbindung zum Repository unter example.com aufzubauen. Wie ein Mitarbeiter von Recurity Labs nun herausfand, wird ssh://-oProxyCommand=some-command allerdings nicht als Hostname, sondern als Switch für SSH (-o ProxyCommand) interpretiert. Der Git-Client führt die angehängten Befehle dann mit seinen normalen Rechten aus, was für Angriffe missbraucht werden könnte.

Nutzer sind zum Beispiel angreifbar, wenn sie ein Repository über SSH klonen wollen und dabei die merkwürdige URL nicht beachten. So etwas könnte man zum Beispiel in einem Skript oder einer Konfigurationsdatei für das Versionskontrollsystem verstecken. Ähnlich wie das Git-Team (CVE-2017-1000117) haben auch die Entwickler von SVN (CVE-2017-9800) und Mercurial (CVE-2017-1000116) das Problem bereits beseitigt. Nutzer sollten Updates für diese Tools deshalb umgehend installieren. Das Uralt-Versionskontrollsystem CVS soll ebenfalls betroffen sein. Da dies aber seit bereits über zehn Jahren nicht mehr aktualisiert wird, ist hier wohl mit keinem Sicherheitsupdate zu rechnen. (fab)

48 Kommentare

Themen:

Anzeige
  1. Gefährliche SSH-Befehle: Kritische Sicherheitslücke in GitLab

    Gefährliche SSH-Befehle: Kritische Sicherheitslücke in GitLab

    Viele Versionskontrollsysteme haben eine Sicherheitslücke, die es Angreifern ermöglicht, Schadcode auszuführen. Beim Webfrontend GitLab ist dies besonders brisant. Admins sollten Installationen der Software umgehend aktualisieren.

  2. Versionskontrollsytem: Git 2.14 enthält viele kleine Neuerungen

    Versionskontrollsytem: Git 2.14 enthält viele kleine Neuerungen

    Die aktuelle Version des aus der Linux-Entwicklung hervorgegangenen Quellcode-Verwaltungssoftware unterstützt nun PCRE 2 und bringt Neuerungen bei den Befehlen git diff und git status.

  3. Mehrere Sicherheitslücken in RubyGems

    Verschlossene Tür, Schloss, Sicherheit

    Rubys Paketsystem RubyGems enthält Schwachstellen, die unter anderem DoS-Angriffe und DNS-Hijacking ermöglichen. Ein Update auf die aktuelle Version 2.6.13 bannt die Gefahr.

  4. Cloud Build jetzt mit Git-LFS-Support

    Cloud Build jetzt mit Git-LFS-Support

    Cloud Build goes large: Mit dem Support für Git Large File Storage (LFS) können Nutzer des Continuous-Integration-Services größere Builds in Cloud Build kreieren.

  1. Platform as a Service mit deis.io

    Platform as a Service mit deis.io

    Entwickler wollen ihre Software möglichst einfach dort haben, wo sie den Anwendern Nutzen bringt. Mit dem Modell der 12-Factor Apps und Deis Workflow steht eine Plattform bereit, die vieles an Bereitstellung und Betrieb automatisiert.

  2. Admin-Parcours: Was geht ab im LAN?

    Admin-Parcour: Was geht ab im LAN?

    Admins müssen etliche Hürden nehmen, um große Netze zu verwalten. Eine der Prüfungen befördert normalsterbliche Admins zum Cisco Certified Network Professional. Könnten Sie die Prüfung bestehen?

  3. Docker-Windows-Container mit Ansible managen (1/2)

    Docker-Windows-Container mit Ansible managen

    Vorwiegend im Java-Universum bekannte DevOps-Tools wie Ansible, Vagrant und Packer verwalten neuerdings auch Windows-Maschinen. Umgekehrt ermöglichen es Docker-Windows-Container, Spring-Boot-Anwendungen unter Windows laufen zu lassen.

  1. Terabyte-große Datenkontainer entdeckt: US-Militär überwacht Soziale Netzwerke weltweit

    Terabyte-große Datenkontainer entdeckt: US-Militär überwacht Soziale Netzwerke weltweit

    Bei einem Routine-Scan fielen dem Security-Experten Chris Vickery riesige Daten-Container in die Hände, die das US-Militär zur Überwachung und Manipulation sozialer Netzwerke in der Amazon-Cloud gesammelt hat.

  2. Erste Ausfahrt: Jaguar E-Pace

    Jaguar E-Pace

    SUV plus gehobenes Image gleich Erfolg? Für Jaguar könnte diese Rechnung mit dem neuen E-Pace aufgehen. Eine erste Ausfahrt zeigt jedoch, dass ein klangvoller Name nicht alle Schwächen überdecken kann

  3. Russland plant zweiten Raketenstart vom Weltraumbahnhof Wostotschny

    Russland plant zweiten Raketenstart vom Weltraumbahnhof Wostotschny

    Anderhalb Jahre nach dem ersten Start einer Rakete von dem neuen Weltraumbahnhof im Fernern Osten Russlands soll in Kürze ein weiterer Start folgen.

  4. Verhandlungen über Killerroboter in Genf

    Verhandlungen über Killerroboter in Genf

    Am Sitz der Vereinten Nationen in Genf wurde diese Woche ein Thema diskutiert, das sich für große Teile der Öffentlichkeit nach wie vor wie Science-Fiction anhört: tödliche autonome Waffensysteme oder Killerroboter.

Anzeige