UPDATE: DFN-CERT-2015-1904 Git: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][RedHat]

UPDATE: DFN-CERT-2015-1904 Git: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][RedHat]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (16.12.2015):
Für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS, Ubuntu 15.04
und Ubuntu 15.10 werden von Canonical Sicherheitsupdates bereitgestellt.
Version 1 (09.12.2015):
Neues Advisory

Betroffene Software:

Git

Betroffene Plattformen:

Red Hat Software Collections 1 RHEL 6
Red Hat Software Collections 1 RHEL 7
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.04
Canonical Ubuntu Linux 15.10
Red Hat Enterprise Linux Desktop 7
Red Hat Enterprise Linux HPC Node 7
Red Hat Enterprise Linux Server 7
Red Hat Enterprise Linux Workstation 7

Ein entfernter, nicht authentifizierter Angreifer kann die Schwachstelle
ausnutzen, um in die URL eines Submoduls Kommandos einzuschleusen und so
beliebigen Programmcode auf dem System des Benutzers zur Ausführung zu
bringen.

Für die Red Hat Enterprise Linux 7 Produkte Desktop, HPC Node, Server und
Workstation sowie für die Red Hat Software Collections stehen
Sicherheitsupdates bereit.

Patch:

Red Hat Security Advisory RHSA-2015:2515

http://rhn.redhat.com/errata/RHSA-2015-2515.html

Patch:

Red Hat Security Advisory RHSA-2015:2561

http://rhn.redhat.com/errata/RHSA-2015-2561.html

Patch:

Ubuntu Security Notice USN-2835-1

http://www.ubuntu.com/usn/usn-2835-1/

CVE-2015-7545: Schwachstelle in Git ermöglicht das Einschleusen von Befehlen

Eine Schwachstelle in Git besteht in der Art wie der ‘git-remote-ext Helper’
bestimmte URLs prozessiert. Zur Ausnutzung der Schwachstelle muss ein
Benutzer Git so konfigurieren, dass ein automatisches Clonen von Submodulen
aus einem nicht vertrauenswürdigen Repository erfolgt.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-1904/

Schwachstelle CVE-2015-7545 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-7545

Red Hat Security Advisory RHSA-2015:2515:
http://rhn.redhat.com/errata/RHSA-2015-2515.html

Red Hat Security Advisory RHSA-2015:2561:
http://rhn.redhat.com/errata/RHSA-2015-2561.html

Ubuntu Security Notice USN-2835-1:
http://www.ubuntu.com/usn/usn-2835-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben