SAI, Administrative Informationen, Tagesmeldungen

Schwerwiegende Sicherheitslücken bei git


Bei dem verteilten Versionsmanagementsystem git wurden im April und jetzt kürzlich am 14. Mai mehrere Sicherheitslücken veröffentlicht. Diese beziehen sich auf die Risiken, wenn eine clone-Operation von nicht vertrauenswürdigen Git-Repositories erfolgt. Es besteht dann das Risiko, dass ungeprüfter und zuvor nicht einsehbarer Code lokal ausgeführt wird.

Auf Theon steht die neueste Git-Version 2.45.1 zur Verfügung mit allen notwendigen Patches, um diese Lücken zu schließen. Überprüfen Sie ggf. mit Hilfe von „git --version“, dass Sie wirklich die aktuelle Version verwenden.

Leider gibt es noch keine entsprechenden Security-Updates für unsere Linux-basierten Systeme, so dass dort noch Vorsicht geboten ist. Da die Lücken jetzt öffentlich bekannt sind, ist damit zu rechnen, dass Angreifer entsprechende Git-Repositories anlegen und bewerben.

Im Zweifel sollte das git-Kommando auf der Theon verwendet werden, um das Risiko zu vermeiden.

Hier gibt es weitere Informationen:

https://www.cvedetails.com/vulnerability-list/vendor_id-4008/GIT.html https://github.blog/2023-04-25-git-security-vulnerabilities-announced-4/ https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv https://tracker.debian.org/pkg/git https://ubuntu.com/security/CVE-2024-32002 https://ubuntu.com/security/CVE-2024-32004 https://ubuntu.com/security/CVE-2024-32465


Andreas Franz Borchert, 21. Juni 2024