DFN-CERT-2015-0776 FusionForge: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora]

DFN-CERT-2015-0776 FusionForge: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

FusionForge

Betroffene Plattformen:

Debian Linux 8.0 Jessie
Red Hat Fedora 21
Red Hat Fedora 22

Eine Schwachstelle in FusionForge ermöglicht einem entfernten, nicht
authentifizierten Angreifer beliebigen Programmcode auszuführen. Für die
Distributionen Debian Linux Jessie (8.0) sowie Fedora 21 und 22 werden
Sicherheitsupdates in Form der Pakete 5.3.2+20141104-3+deb8u1, bzw.
fusionforge-5.3.2-4.fc21 und fusionforge-5.3.2-4.fc22 (im Status ‘testing’)
zur Verfügung gestellt.

Patch:

Debian Security Advisory DSA-3275-1

https://www.debian.org/security/2015/dsa-3275

Patch:

Fedora Security Update FEDORA-2015-9096

https://admin.fedoraproject.org/updates/FEDORA-2015-9096/fusionforge-5.3.2-4.fc22

Patch:

Fedora Security Update FEDORA-2015-9128

https://admin.fedoraproject.org/updates/FEDORA-2015-9128/fusionforge-5.3.2-4.fc21

CVE-2015-0850: Schwachstelle in FusionForge ermöglicht das Ausführen
beliebigen Programmcodes

Eine Schwachstelle in FusionForge führt dazu, dass Benutzereingaben nicht
fehlerfrei bereinigt werden. Dadurch ist es möglich, die Parameter für das
Anlegen eines zweiten GIT-Depots so zu manipulieren, dass Programmcode
ausgeführt wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0776/

Debian Security Advisory DSA-3275-1:
https://www.debian.org/security/2015/dsa-3275

Fedora Security Update FEDORA-2015-9096:
https://admin.fedoraproject.org/updates/FEDORA-2015-9096/fusionforge-5.3.2-4.fc22

Fedora Security Update FEDORA-2015-9128:
https://admin.fedoraproject.org/updates/FEDORA-2015-9128/fusionforge-5.3.2-4.fc21

Schwachstelle CVE-2015-0850 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0850

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben