Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Mercurial < 4.1.3 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 Ein entfernter, einfach authentisierter Benutzer, als Angreifer kann eine Schwachstelle in Mercurial ausnutzen, um beliebigen Programmcode auszuführen und dadurch das System vollständig zu kompromittieren. Für SUSE Linux Enterprise Software Development Kit und Debuginfo in Version 11 SP4 stehen Backport-Sicherheitsupdates bereit, um diese Schwachstelle zu beheben. Patch: Mercurial Repository https://www.mercurial-scm.org/repo/hg/rev/77eaf9539499

Patch:

SUSE Security Update SUSE-SU-2017:1558-1

http://lists.suse.com/pipermail/sle-security-updates/2017-June/002941.html

CVE-2017-9462: Schwachstelle in Mercurial ermöglicht Ausführung beliebigen
Programmcodes

In Mercurial vor Version 4.1.3 existiert eine Schwachstelle, da ein
Angreifer mit dem Aufruf ‘hg serve –stdio’ den Python Debugger öffnen und
entsprechend beliebigen Programmcode durch die Verwendung von ‘–debugger’
als Name eines Repositories zur Ausführung bringen kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1027/

Schwachstelle CVE-2017-9462 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9462

Mercurial Repository :
https://www.mercurial-scm.org/repo/hg/rev/77eaf9539499

SUSE Security Update SUSE-SU-2017:1558-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-June/002941.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.