UPDATE: DFN-CERT-2014-1698 Git: Eine Schwachstelle ermöglicht das Ausführen von beliebigem Programmcode [Linux][Fedora]

UPDATE: DFN-CERT-2014-1698 Git: Eine Schwachstelle ermöglicht das Ausführen von beliebigem Programmcode [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (14.01.2015):
Canonical stellt für Ubuntu 14.10, Ubuntu 14.04 LTS und Ubuntu 12.04 LTS
Sicherheitsupdates bereit.
Version 1 (22.12.2014):
Neues Advisory

Betroffene Software:

Apple Xcode Tools <= 6.2 beta 2 Git Betroffene Plattformen: Apple Mac OS X 10.9.4 Canonical Ubuntu Linux 12.04 Lts Canonical Ubuntu Linux 14.04 Lts Canonical Ubuntu Linux 14.10 Red Hat Fedora 21 Eine Schwachstelle in Git ermöglicht einem entfernten, nicht authentifizierten Angreifer beliebigen Programmcode auszuführen. Patch: Xcode Download Seite https://developer.apple.com/xcode/downloads/

Patch:

Fedora Security Update FEDORA-2014-17341

https://admin.fedoraproject.org/updates/FEDORA-2014-17341/eclipse-jgit-3.5.3-1.fc21,eclipse-egit-3.5.3-1.fc21

Patch:

Ubuntu Security Notice USN-2470-1

http://www.ubuntu.com/usn/usn-2470-1/

CVE-2014-9390: Schwachstelle in Git ermöglicht das Ausführen von beliebigem
Programmcode mit den Rechten des Dienstes

Eine Schwachstelle in Git tritt auf, wenn der Client auf einem
case-insensitiven Dateisystem verwendet wird. In diesem Fall ist es durch
einen “git pull” Aufruf möglich, die Konfigurationsdatei .git/config zu
überschreiben, weil das Abspeichern der Datei .Git/config in jeder
Kombination von Groß- und Kleinbuchstaben erlaubt ist und beim ‘pull’ die
lokale Konfiguration überschreibt. Ein entfernter, nicht authentifizierter
Angreifer kann beliebigen Programmcode ausführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1698/

Xcode Download Seite:
https://developer.apple.com/xcode/downloads/

Apple Security Advisory HT204147:
http://support.apple.com/de-de/HT204147

Schwachstelle CVE-2014-9390 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9390

Fedora Security Update FEDORA-2014-17341:
https://admin.fedoraproject.org/updates/FEDORA-2014-17341/eclipse-jgit-3.5.3-1.fc21,eclipse-egit-3.5.3-1.fc21

Ubuntu Security Notice USN-2470-1:
http://www.ubuntu.com/usn/usn-2470-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben