DFN-CERT-2017-0515 Git: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux]

DFN-CERT-2017-0515 Git: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Git >= 1.8.1
Git < 1.9.3 Betroffene Plattformen: Canonical Ubuntu Linux 14.04 LTS Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Git vor Version 1.9.3 ausnutzen, um über den Parameter 'PS1' beliebigen Programmcode auszuführen. Die Schwachstelle wurde durch die Unterstützung von 'PS1' in 'PROMPT_COMMAND' mit Git 1.8.1 eingeführt. Canonical stellt ein Sicherheitsupdate für Ubuntu Linux 14.04 LTS bereit, um die Schwachstelle zu beheben. Patch: Ubuntu Security Notice USN-3243-1 https://www.ubuntu.com/usn/usn-3243-1/

CVE-2014-9938: Schwachstelle in Git ermöglicht Ausführung beliebigen
Programmcodes

Das Skript ‘contrib/completion/git-prompt.sh’ in Git vor Version 1.9.3
bereinigt Zweignamen (Branch Names) in der Variablen ‘PS1’ nicht
ausreichend.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0515/

Schwachstelle CVE-2014-9938 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9938

Ubuntu Security Notice USN-3243-1:
https://www.ubuntu.com/usn/usn-3243-1/

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben