Open Source im professionellen Einsatz

UPDATE: DFN-CERT-2017-1027 Mercurial: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Fedora][SuSE]

19.06.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (19.06.2017):
Für SUSE Linux Enterprise Software Development Kit 12 SP2 steht ein
Sicherheitsupdate für 'mercurial' bereit.
Version 3 (19.06.2017):
Für Fedora 24 und 25 stehen Sicherheitsupdates in Form der Pakete
'mercurial-3.7.3-2.fc24' und 'mercurial-3.8.1-3.fc25' im Status 'testing'
bereit.
Version 2 (16.06.2017):
Für die Distribution openSUSE Leap 42.2 steht ein Sicherheitsupdate für
Mercurial bereit.
Version 1 (14.06.2017):
Neues Advisory

Betroffene Software:

Mercurial < 4.1.3


Betroffene Plattformen:

SUSE Linux Enterprise Debuginfo 11 SP4
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12 SP2
openSUSE Leap 42.2
Red Hat Fedora 24
Red Hat Fedora 25



Ein entfernter, einfach authentisierter Benutzer, als Angreifer kann eine
Schwachstelle in Mercurial ausnutzen, um beliebigen Programmcode auszuführen
und dadurch das System vollständig zu kompromittieren.

Für SUSE Linux Enterprise Software Development Kit und Debuginfo in Version
11 SP4 stehen Backport-Sicherheitsupdates bereit, um diese Schwachstelle zu
beheben.


Patch:

Mercurial Repository

<https://www.mercurial-scm.org/repo/hg/rev/77eaf9539499>

Patch:

SUSE Security Update SUSE-SU-2017:1558-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-June/002941.html>

Patch:

openSUSE Security Update openSUSE-SU-2017:1572-1

<http://lists.opensuse.org/opensuse-updates/2017-06/msg00049.html>

Patch:

Fedora Security Update FEDORA-2017-62aacc1474 (Fedora 25, mercurial-3.8.1-3)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-62aacc1474>

Patch:

Fedora Security Update FEDORA-2017-b154ff2892 (Fedora 24, mercurial-3.7.3-2)

<https://bodhi.fedoraproject.org/updates/FEDORA-2017-b154ff2892>

Patch:

SUSE Security Update SUSE-SU-2017:1606-1

<http://lists.suse.com/pipermail/sle-security-updates/2017-June/002954.html>


CVE-2017-9462: Schwachstelle in Mercurial ermöglicht Ausführung beliebigen
Programmcodes

In Mercurial vor Version 4.1.3 existiert eine Schwachstelle, da ein
Angreifer mit dem Aufruf 'hg serve --stdio' den Python Debugger öffnen und
entsprechend beliebigen Programmcode durch die Verwendung von '--debugger'
als Name eines Repositories zur Ausführung bringen kann.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1027/>

Schwachstelle CVE-2017-9462 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9462>

Mercurial Repository :
<https://www.mercurial-scm.org/repo/hg/rev/77eaf9539499>

SUSE Security Update SUSE-SU-2017:1558-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-June/002941.html>

openSUSE Security Update openSUSE-SU-2017:1572-1:
<http://lists.opensuse.org/opensuse-updates/2017-06/msg00049.html>

Fedora Security Update FEDORA-2017-62aacc1474 (Fedora 25, mercurial-3.8.1-3):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-62aacc1474>

Fedora Security Update FEDORA-2017-b154ff2892 (Fedora 24, mercurial-3.7.3-2):
<https://bodhi.fedoraproject.org/updates/FEDORA-2017-b154ff2892>

SUSE Security Update SUSE-SU-2017:1606-1:
<http://lists.suse.com/pipermail/sle-security-updates/2017-June/002954.html>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.