Kritieke bug treft Git-clients voor Windows en Mac - update

De officiële Git-clients en aanverwante software voor Mac en Windows bevatten een kritieke bug waardoor het mogelijk is om een computer over te nemen. Het populaire GitHub waarschuwt gebruikers actief voor het lek, waarvoor een fix is uitgebracht.

Git schrijft dat de bug met name ontwikkelaars met Windows en Mac treft. Het gaat om een probleem dat enkel clients treft die repositories kunnen benaderen. Daardoor zijn het populaire github.com en GitHub Enterprise niet direct kwetsbaar voor het lek.

Door de bug kan een aanvaller het configuratiebestand van Git, maar ook van het soortgelijke programma Mercurial, overschrijven als hij een file wil klonen of controleren. Hierdoor zijn er willekeurige commando's uit te voeren, waarmee in het uiterste geval een computer kan worden overgenomen. Windows- en Mac-clients zijn hier kwetsbaar voor, maar die voor Linux in beginsel niet.

Het populaire GitHub, waarop ontwikkelaars Git-code delen, moedigt alle gebruikers ten zeerste aan om hun Git-clients bij te werken naar de recentste versie, die per direct beschikbaar is. Ook moeten ze naar verluidt voorzichtig zijn met het klonen en benaderen van repositories die op onveilige of onbetrouwbare hosts zijn ondergebracht. Repo's op GitHub zijn niet kwetsbaar, omdat de organisatie naar eigen zeggen op de kwetsbaarheid controleert.

Update, zondag - Naar aanleiding van verwarring over Git en GitHub het artikel iets verduidelijkt. Daarnaast feitelijke onjuistheden, voor zover bekend, verwijderd.

Reacties (27)

LEDfan 20 december 2014 08:41

Ik vind persoonlijk dit artikel fout en verwarrend is, omdat Git onveilig is en Git hier ook actief voor waarschuwt. (dit staat ook in de blog post van github)

Github maakt gebruik van Git om een SaaS te maken. Github en git zijn niet hetzelfde.

Twee zaken die mij opvallen in het artikel: (cursief=citaat uit het artikel)
GitHub waarschuwt gebruikers actief voor het lek en heeft inmiddels een fix uitgebracht.
Het klopt dat github hier voor waarschuwt, maar in de eerste plaatst waarschuwt git hiervoor. Github en git zijn niet hetzelfde.

In een blogpost schrijft de organisatie achter het opensourceplatform dat de bug met name ontwikkelaars met Windows en Mac treft.
Github is niet open-source! Git is open-source, github is een SaaS gebouwd op git. En zoals ik al boven zei is het veel logischer om te vertellen dat git waarschuwt voor hun eigen veiligheid lek, dan te vertellen dat een 3de partij die "toevallig" gebruikt maakt van deze software.

Ik begrijp de verwarring, maar een site als Tweakers.net moet het verschil tussen Git en Github wel weten of kunnen opzoeken.

thegve @LEDfan • 20 december 2014 12:38

MI zou beter het gehele artikel herschreven kunnen worden. Beetje wazig verhaal. Github had beter in de laatste alinea nog even vermeld kunnen worden oid, grote/bekende git hoster maar niet de 'kern' van het verhaal.

jaapzb @LEDfan • 20 december 2014 14:05

opensourceplatform

To be fair, dit kan ook geinterpreteerd worden als platform voor open source software, en daar staat GitHub wel om bekend.

Lord Anubis @LEDfan • 20 december 2014 10:48

Je hebt gelijk, op deze manier wordt gemeengoed alleen maar verder versterkt. Onwetenen worden op het verkeerde been gezet. Net zoals de benamingen hackers en crackers, weliswaar niet hier van toepassing, maar wel de onduidelijkheden erover, wat is wat.

Alhoewel het artikel is aangepast zou het mooi zijn als er een beter verificatie process hier bij tweakers komt voordat er iets gepost wordt. Mensen lezen vaak één keer een artikel en nemen de fout gelijk als waar op, alhoewel er later gecorrigeerd.

jaapzb 19 december 2014 22:40

Linux cliënts zijn alleen vulnerable als er gebruik gemaakt word van een case-insensitive bestandssysteem. De ext- bestandssystemen die meestal gebruikt worden onder linux zijn case sensitieve, dus voor het grootste deel van de linux gebruikers is er geen probleem.

Daarnaast gaat het niet om GitHub cliënts, maar git cliënts. En dat is wel een verschil...

[Reactie gewijzigd door jaapzb op 23 juli 2024 18:45]

Loller1 @jaapzb • 19 december 2014 22:52

Maar het nieuws gaat over GitHub. En die GitHub cliënts bevatten Git, daar gaat het over in het artikel.

ieperlingetje @Loller1 • 19 december 2014 22:53

Nee, want github is niet het probleem, gaat over de git clients in het algemeen.

jaapzb @Loller1 • 20 december 2014 14:00

Dat is mooi dat het artikel gaat over GitHub alleen, maar de vulnerabilities zitten gewoon in de Git client, niet in een of andere speciale GitHub client.

Je bent ook vulnerable als je de niet-gepatchede versie van de git client gebruikt met niet-github repositories.

ZpAz

@jaapzb • 19 december 2014 23:33

Hetzelfde geld dan waarschijnlijk voor OSX welke ook zowel een case sensitive als insensitive file systeem heeft naar gelang de keuze van de gebruiker. Maar volgens mij default hij naar case insensitive.

jaapzb @ZpAz • 20 december 2014 14:01

Zover ik weet is het in OSX zo dat hij bij default case-insensitive is en dat het overgrote deel van de OSX gebruikers dan ook vulnerable zijn.

Je kan in OSX wel instellen of je case-sensitivity wil, dus niet iedereen is vulnerable.

Tristan @jaapzb • 19 december 2014 22:49

Slecht artikel door tweakers dan! Het onderwerp zegt toch duidelijk kritieke bug in github clients.. Dus ik dacht niet kwetsbaar te zijn omdat ik die niet gebruik.

Armin 19 december 2014 23:30

O.a. Visual Studio 2013 en TFS Server 2013 zijn ook kwetsbaar. Hier de inmiddels uitgebrachte fixen van Microsoft.

Visual Studio 2013:
• http://www.microsoft.com/...oad/details.aspx?id=45326

Visual Studio Team Foundation Server 2013:
• http://www.microsoft.com/...oad/details.aspx?id=45327

Die laatste patch zul je dus typisch als developer niet nodig hebben, maar als server-beheerder voorkom je zo dat jouw server misbruikt wordt voor deze hack en bescherm je dus indirect jouw gebruikers.

OMX2000 20 december 2014 06:07

Tip van flip. Voeg ook een link toe naar de nieuwe git clients. Dat is denk ik ook Tweakers waardig. De andere punten van kritiek zijn al genoemd.

Link waar nieuwste clients te halen zijn : http://git-scm.com

Hatsieflatsie 19 december 2014 22:34

Aangezien de gevaarlijke configuratiebestanden dus niet op Github aanwezig zijn, en het vrij ongebruikelijk is dat je met een Github-applicatie bijv. Bitbucket-repo benadert, zal het met het aantal slachtoffers wel meevallen.

Verwijderd @Hatsieflatsie • 19 december 2014 22:38

Het artikel is zeer onduidelijk/fout, maar het gaat hier om een bug in git, niet in github. Alle git repo's die op een filesystem staan met hoofdletterongevoeligheid (Windows en Mac dus) zijn kwetsbaar.

gjmi @Verwijderd • 19 december 2014 23:59

Bij een Mac ligt het er dus aan if je een filesysteem hebt gemaakt die hoofdletter gevoelig is? Je kunt namelijk daaruit kiezen. En zoveel ik weet is de partitie waar OSX zelf opstaat niet hoofdletter gevoelig.

ppl @gjmi • 20 december 2014 16:03

GitHub heeft in deze er helemaal niets mee te maken behalve dat zij inderdaad actief richting hun gebruikers waarschuwt voor de problemen (zoals dat hoort). Het Tweakers.net artikel bevat bar weinig waarheid. Ik raad je dan ook met klem aan om de inhoud volledig links te laten liggen en direct het bericht van GitHub en diverse andere nieuwssites (die wel weten waar ze het over hebben) te lezen. Atlassian (makers van Sourcetree) waarschuwt inmiddels ook. Een mooi uitgebreid verhaal vindt je in een blogpost van Git: http://git-blame.blogspot...-205-214-and-221-and.html

Het betreffen hier 3 problemen welke zijn ontdekt in Mercurial door 2 ontwikkelaars van Mercurial (GitHub is hier dus een totaal onjuiste bron om uit te citeren). Zij hebben toen verder nagedacht dan hun neus lang is en eens bij Git gekeken. En warempel, daar bleken de bugs ook te zitten (de officiële CVE die erbij hoort is CVE-2014-9390). De officiële release notes van Git v2.2.1 vermeldt de bugs en geeft credits aan de Mercurial ontwikkelaars: https://raw.githubusercon...tation/RelNotes/2.2.1.txt Het is dus niet zo dat je van de problemen af bent als je wel een hoofdlettergevoelig filesystem gebruikt.
GitHub zelf heeft geen last van die bugs door de manier waarop hun systeem is opgezet. Waarschijnlijk draait het gewoon Linux waar deze bugs niet op van toepassing zijn. Dat zullen heel veel anderen ook zijn gezien de achtergrond van Git.

Zoals eerder gezegd gelden deze bugs ook voor Mercurial. Ook die client zul je naar de nieuwste 3.2.3 versie moeten updaten aangezien deze de problemen verhelpt. Let bij Git even op welke versie je gebruikt, de volgende versies bevatten de fixes: v1.8.5.6, v1.9.5, v2.0.5, v2.1.4, and v2.2.1. Je zult ook de libgit library moeten updaten. Voor Sourcetree is er nu ook een update.

[Reactie gewijzigd door ppl op 23 juli 2024 18:45]

xleeuwx @Hatsieflatsie • 19 december 2014 22:39

Inderdaad, ik gebruik een interne git omgeving dus doe het maandag wel

.

Denk dat het komt omdat veel externe programma's evengoed de git bash gebruiken dus zal daar het probleem / bug inzitten.

MadEgg 20 december 2014 13:40

Dus het probleem zit in de combinatie git-client / bestandssysteem. Mijn OS X heb ik geinstalleerd op een case sensitive HFS+ partitie, niet op een case preserving HFS+ partitie. Daarmee is mijn Mac git client dus niet kwetsbaar.

Wazig artikel inderdaad; de relatie met GitHub is irrelevant, git is kwetsbaar, maar dan alleen in bepaalde gevallen.

ppl @MadEgg • 20 december 2014 16:16

Er zijn 3 problemen ontdekt in Mercurial en Git voor Mac en Windows systemen. De hoofdlettergevoeligheid is maar 1 van de 3 bugs dus jouw machine is wel kwetsbaar. De enige oplossing is het updaten van de Mercurial en Git clients en alle software die zoiets hebben ingebouwd (zoals SourceTree van Atlassian).

C0rnelis @MadEgg • 20 december 2014 15:37

Bij het lezen van de link van LEDfan, interpreteer ik dat HFS+ hoe dan ook kwetsbaar is, of zit ik ernaast ?

HFS+ has a similar issue, where certain unicode
codepoints are ignored, e.g. ".g\u200cit/config" is treated as if
it were ".git/config". Pathnames with these potential issues are
rejected on the affected systems.

Hans1990 19 december 2014 23:03

Ik vraag mij af of deze kwetsbaarheid ook bij submodules toepasselijk is; want dan is het goed dat mensen met de Github Client updaten, omdat je bij een submodule naar een andere repository kan verwijzen op een andere (en dus kwaadaardige?) server.

[Reactie gewijzigd door Hans1990 op 23 juli 2024 18:45]

jaapzb @Hans1990 • 20 december 2014 14:03

Configuratie van submodules worden afaik op exact dezelfde wijze opgeslagen als die van de "hoofd" repo, dus ik neem aan dat die ook vulnerable zijn.

TonnyTonny 20 december 2014 08:12

Mmmhhh... Treft dit ook de interne Git client van XCode ?
Apple heeft nog geen update.
NIet dat ik momenteel projecten heb met source van een externe Git repo, maar toch...

Hatsieflatsie 19 december 2014 23:03

Zo te zien heeft de stagiair zijn artikel algauw aangepast.

paradoXical @Hatsieflatsie • 20 december 2014 00:50

Prima toch! Aanvullingen vanuit de community zijn altijd goed en niemand is alwetend

bitraider 21 december 2014 11:07

Zolang geen kwaadwilligen in je git repo kunnen schrijven is er niets aan de hand.

Op dit item kan niet meer gereageerd worden.

Kritieke bug treft Git-clients voor Windows en Mac - update

Lees meer

Reacties (27)

Sorteer op:

Weergave: