ISGroup Cybersicherheitsberatung

CVE-2025-48384 – Git Willkürliches Schreiben von Dateien durch bösartige Submodule

CVE-2025-48384 ist eine Schwachstelle mit hohem Schweregrad im Git-Client (unter macOS und Linux), die am 8. Juli 2025 offengelegt wurde.
Sie tritt auf, wenn git clone --recursive auf ein Repository mit einer manipulierten .gitmodules-Datei angewendet wird, die Pfade enthält, die mit einem Wagenrücklauf-Zeichen (CR) enden. Dies kann zum willkürlichen Schreiben von Dateien und potenziell zur Remote Code Execution (RCE) führen. Dies stellt ein erhebliches Risiko für die Lieferkette von Entwicklern und Automatisierungssystemen dar.

Datum28.08.2025 09:44:54
Informationen
  • Fix verfügbar

Technische Zusammenfassung

Der Konfigurations-Parser von Git entfernt beim Lesen von Konfigurationswerten nachgestellte CRLF-Zeichen, schließt die Werte jedoch beim Schreiben nicht ein, was zu Diskrepanzen führt. Wenn ein Submodul-Pfad mit einem CR-Zeichen endet, kann Git das Modul an einem unbeabsichtigten Ort initialisieren. Bei Vorhandensein eines Symlinks auf das hooks-Verzeichnis des Submoduls und eines ausführbaren post-checkout-Hooks kann das Klonen des Repositorys den Hook auslösen – was zur Ausführung von Schadcode führt.

Git-CLI-Versionen vor den korrigierten Releases – v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1 und v2.50.1 – sind anfällig. Es ist wichtig zu beachten, dass Windows-Systeme nicht betroffen sind.

Darüber hinaus sind öffentlich Proof-of-Concept (PoC)-Exploits verfügbar, was das konkrete Risiko erhöht.

Empfehlungen

  1. Git-CLI sofort aktualisieren
    Stellen Sie sicher, dass alle Git-Clients unter macOS und Linux auf eine der korrigierten Versionen aktualisiert werden:
    v2.43.7, v2.44.4, v2.45.4, v2.46.4, v2.47.3, v2.48.2, v2.49.1 oder v2.50.1 (oder neuer).

  2. Rekursives Klonen von nicht vertrauenswürdigen Repositories vermeiden
    Vermeiden Sie die Verwendung von git clone --recursive für Repositories aus nicht verifizierten Quellen – insbesondere auf Entwickler-Workstations oder in CI/CD-Pipelines.

  3. Gepatchte Git-Versionen in Automatisierungsumgebungen verwenden
    Stellen Sie in Umgebungen wie GitLab Runner oder CI-Tools sicher, dass der in den Basis-Images verwendete Git-Client aktualisiert ist; vermeiden Sie die Verwendung anfälliger Versionen.

  4. Überprüfung auf anfällige Versionen
    Führen Sie auf betroffenen Systemen git --version aus, um zu prüfen, ob die installierte Version zu den sicheren gehört. Beachten Sie unter macOS, dass Tools wie Homebrew eine zusätzliche Git-Version installieren können, ohne die Systemversion zu ersetzen – aktualisieren Sie Ihren PATH entsprechend.

  5. Entwickler überwachen und informieren
    Sensibilisieren Sie die Teams für die Risiken im Zusammenhang mit bösartigen Submodulen und stellen Sie sicher, dass sensible Umgebungen Operationen nur auf vertrauenswürdige Quellen beschränken.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *