Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (16.06.2016):
Für das SUSE Linux Enterprise Software Development Kit in den Versionen
11-SP4, 12 und 12-SP1 stehen Backport-Sicherheitsupdates bereit.
Version 2 (18.05.2016):
Für die Distributionen openSUSE 13.2 und openSUSE Leap 42.1 stehen
Backport-Sicherheitsupdates bereit.
Version 1 (06.05.2016):
Neues Advisory

Betroffene Software:

Mercurial

Betroffene Plattformen:

SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12
SUSE Linux Enterprise Software Development Kit 12 SP1
Debian Linux 8.4 Jessie
openSUSE 13.2
openSUSE Leap 42.1

Ein entfernter, nicht authentifizierter Angreifer kann beliebigen
Programmcode ausführen, indem er die Convert-Erweiterung für
Git-Repositories mit speziell präparierten Namen verwendet.

Debian stellt für die Distribution Jessie (stable) ein
Backport-Sicherheitsupdate bereit.

Patch:

Debian Security Advisory DSA-3570-1

https://www.debian.org/security/2016/dsa-3570

Patch:

openSUSE Security Advisory openSUSE-SU-2016:1336-1

https://lists.opensuse.org/opensuse-updates/2016-05/msg00082.html

Patch:

SUSE Security Update SUSE-SU-2016:1442-1

http://lists.suse.com/pipermail/sle-security-updates/2016-May/002082.html

Patch:

SUSE Security Update SUSE-SU-2016:1443-1

http://lists.suse.com/pipermail/sle-security-updates/2016-May/002083.html

CVE-2016-3105: Schwachstelle in Mercurial ermöglicht Ausführung beliebigen
Programmcodes

Bei der Konvertierung von Git-Repositories mit bestimmten Namen kann es zur
Ausführung von Programmcode kommen, da der an ‘git-ls-remote’ übergebene
Repository-Pfad als URL interpretiert werden kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0717/

Schwachstelle CVE-2016-3105 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3105

Debian Security Advisory DSA-3570-1:
https://www.debian.org/security/2016/dsa-3570

openSUSE Security Advisory openSUSE-SU-2016:1336-1:
https://lists.opensuse.org/opensuse-updates/2016-05/msg00082.html

SUSE Security Update SUSE-SU-2016:1442-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-May/002082.html

SUSE Security Update SUSE-SU-2016:1443-1:
http://lists.suse.com/pipermail/sle-security-updates/2016-May/002083.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (18.05.2016):
Für die Distributionen openSUSE 13.2 und openSUSE Leap 42.1 stehen
Backport-Sicherheitsupdates bereit.
Version 1 (06.05.2016):
Neues Advisory

Betroffene Software:

Mercurial

Betroffene Plattformen:

Debian Linux 8.4 Jessie
openSUSE 13.2
openSUSE Leap 42.1

Ein entfernter, nicht authentifizierter Angreifer kann beliebigen
Programmcode ausführen, indem er die Convert-Erweiterung für
Git-Repositories mit speziell präparierten Namen verwendet.

Debian stellt für die Distribution Jessie (stable) ein
Backport-Sicherheitsupdate bereit.

Patch:

Debian Security Advisory DSA-3570-1

https://www.debian.org/security/2016/dsa-3570

Patch:

openSUSE Security Advisory openSUSE-SU-2016:1336-1

https://lists.opensuse.org/opensuse-updates/2016-05/msg00082.html

CVE-2016-3105: Schwachstelle in Mercurial ermöglicht Ausführung beliebigen
Programmcodes

Bei der Konvertierung von Git-Repositories mit bestimmten Namen kann es zur
Ausführung von Programmcode kommen, da der an ‘git-ls-remote’ übergebene
Repository-Pfad als URL interpretiert werden kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0717/

Schwachstelle CVE-2016-3105 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-3105

Debian Security Advisory DSA-3570-1:
https://www.debian.org/security/2016/dsa-3570

openSUSE Security Advisory openSUSE-SU-2016:1336-1:
https://lists.opensuse.org/opensuse-updates/2016-05/msg00082.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.