Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-0823 Git: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Debian][Fedora][SuSE]

19.05.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (19.05.2017):
Für die SUSE Linux Enterprise Produkte Software Development Kit und Server
stehen für die Versionen 12 SP1 und 12 SP2 sowie für SUSE Linux Enterprise
Server for Raspberry Pi 12 SP2 und OpenStack Cloud Magnum Orchestration 7
Sicherheitsupdates für git bereit.
Version 2 (15.05.2017):
Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.10, Ubuntu
16.04 LTS und Ubuntu 14.04 LTS verschiedene Backport-Sicherheitsupdates
bereit, um diese Schwachstelle zu beheben.
Version 1 (10.05.2017):
Neues Advisory

Betroffene Software:

Git < 2.4.12
Git < 2.5.6
Git < 2.6.7
Git < 2.7.5
Git < 2.8.5
Git < 2.9.4
Git < 2.10.3
Git < 2.11.2
Git < 2.12.3


Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 12 SP1
SUSE Linux Enterprise Software Development Kit 12 SP2
OpenStack Magnum 7
Canonical Ubuntu Linux 14.04 LTS
Canonical Ubuntu Linux 16.04 LTS
Canonical Ubuntu Linux 16.10
Canonical Ubuntu Linux 17.04
Debian Linux 8.8 Jessie
SUSE Linux Enterprise Server 12 SP1
SUSE Linux Enterprise Server 12 SP2
SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi
Red Hat Fedora 24
Red Hat Fedora 25
Red Hat Fedora 26



Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
Git ausnutzen, um Dateien in entfernten Repositorien zu manipulieren, deren
Name mit einem Dash ('-') beginnt.

Zur Behebung der Schwachstelle stehen die Versionen 2.4.12, 2.5.6, 2.6.7,
2.7.5, 2.8.5, 2.9.4, 2.10.3, 2.11.2 und 2.12.3 von Git bereit.

Debian stellt für die stabile Distribution Debian Jessie ein
Backport-Sicherheitsupdate bereit. Für Fedora 24, 25 und 26 stehen mit den
Paketen 'git-2.7.5-1.fc24', 'git-2.9.4-1.fc25' und 'git-2.13.0-1.fc26'
Sicherheitsupdates auf aktuelle Versionen von Git im Status 'pending'
bereit.


Patch:

Debian Security Advisory DSA-3848-1

<https://www.debian.org/security/2017/dsa-3848>

Patch:

Download Git

<https://git-scm.com/download>

Patch:

Fedora Security Update FEDORA-2017-01a7989fc0 (git-2.7.5-1.fc24)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-01a7989fc0>

Patch:

Fedora Security Update FEDORA-2017-7ea0e02914 (git-2.13.0-1.fc26)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-7ea0e02914>

Patch:

Fedora Security Update FEDORA-2017-f4319b6dfc (git-2.9.4-1.fc25)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-f4319b6dfc>

Patch:

Ubuntu Security Notice USN-3287-1

<http://www.ubuntu.com/usn/usn-3287-1/>

Patch:

SUSE Security Update SUSE-SU-2017:1357-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-May/002902.html>


CVE-2017-8386: Schwachstelle in Git ermöglicht Manipulation von Dateien

Die Verbindung zu entfernten Servern über 'git-shell' (SSH) erlaubt erlaubt
die Verwendung von Optionen, die über Dashes ('-') in die Kommandozeile
eingegeben werden können. Die Verwendung von Repositorien mit Namen, die
einen vorangestellten Dash enthalten, ist für 'git-shell' nicht eindeutig
implementiert. Die Ergebnisse von Befehlszeilenoperationen in diesem Kontext
sind daher nicht eindeutig und können von Denial-of-Service (DoS)-Zuständen
(Ausführung des Befehls wird verweigert) bis hin zur unautorisierten
Manipulation von Dateien (über die Option '--help' wird ein interaktiver
Terminal Pager wie 'emacs' oder 'nano' gestartet) reichen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-0823/>

Debian Security Advisory DSA-3848-1:
<https://www.debian.org/security/2017/dsa-3848>

Download Git:
<https://git-scm.com/download>

Fedora Security Update FEDORA-2017-01a7989fc0 (git-2.7.5-1.fc24):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-01a7989fc0>

Fedora Security Update FEDORA-2017-7ea0e02914 (git-2.13.0-1.fc26):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-7ea0e02914>

Fedora Security Update FEDORA-2017-f4319b6dfc (git-2.9.4-1.fc25):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-f4319b6dfc>

Schwachstelle CVE-2017-8386 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8386>

Update Announcement Git v2.4.12, v2.5.6, v2.6.7, v2.7.5, v2.8.5,
v2.9.4, v2.10.3, v2.11.2, and v2.12.3:
<https://public-inbox.org/git/xmqq8tm5ziat.fsf@gitster.mtv.corp.google.com/>

Ubuntu Security Notice USN-3287-1:
<http://www.ubuntu.com/usn/usn-3287-1/>

SUSE Security Update SUSE-SU-2017:1357-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-May/002902.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 07/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.