Bei dem verteilten Versionsmanagementsystem git wurden im April und jetzt kürzlich am 14. Mai mehrere Sicherheitslücken veröffentlicht. Diese beziehen sich auf die Risiken, wenn eine clone-Operation von nicht vertrauenswürdigen Git-Repositories erfolgt. Es besteht dann das Risiko, dass ungeprüfter und zuvor nicht einsehbarer Code lokal ausgeführt wird.
Auf Theon steht die neueste Git-Version 2.45.1 zur Verfügung mit allen notwendigen Patches, um diese Lücken zu schließen. Überprüfen Sie ggf. mit Hilfe von „git --version“, dass Sie wirklich die aktuelle Version verwenden.
Leider gibt es noch keine entsprechenden Security-Updates für unsere Linux-basierten Systeme, so dass dort noch Vorsicht geboten ist. Da die Lücken jetzt öffentlich bekannt sind, ist damit zu rechnen, dass Angreifer entsprechende Git-Repositories anlegen und bewerben.
Im Zweifel sollte das git-Kommando auf der Theon verwendet werden, um das Risiko zu vermeiden.
Hier gibt es weitere Informationen:
https://www.cvedetails.com/vulnerability-list/vendor_id-4008/GIT.html https://github.blog/2023-04-25-git-security-vulnerabilities-announced-4/ https://github.com/git/git/security/advisories/GHSA-8h77-4q3w-gfgv https://tracker.debian.org/pkg/git https://ubuntu.com/security/CVE-2024-32002 https://ubuntu.com/security/CVE-2024-32004 https://ubuntu.com/security/CVE-2024-32465