DFN-CERT-2017-1916 fedpkg, rpkg: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Fedora]

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

fedpkg
rpkg

Betroffene Plattformen:

Red Hat Fedora 25
Red Hat Fedora 26
Red Hat Fedora 27
Extra Packages for Red Hat Enterprise Linux 6
Extra Packages for Red Hat Enterprise Linux 7

Eine Schwachstelle in fedpkg bzw. rpkg ermöglicht einem entfernten, nicht
authentisierten Angreifer die Manipulation von Dateien und dadurch auch das
Ausführen beliebigen Programmcodes.

Für Fedora 25, 26, 27 sowie Fedora EPEL 6, 7 stehen Sicherheitsupdates in
Form der Pakete ‘fedpkg-1.30-2’ und ‘rpkg-1.51-1’ bereit. Das Update für
Fedora 27 befindet sich im Status ‘testing’, während die anderen Updates
noch den Status ‘pending’ besitzen.

Patch:

Fedora Security Update FEDORA-2017-9cac2b8b4a (Fedora 27,
fedpkg-1.30-2.fc27, rpkg-1.51-1.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-9cac2b8b4a

Patch:

Fedora Security Update FEDORA-2017-ea72793352 (Fedora 26,
fedpkg-1.30-2.fc26, rpkg-1.51-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-ea72793352

Patch:

Fedora Security Update FEDORA-2017-f5ad4107cc (Fedora 25,
fedpkg-1.30-2.fc25, rpkg-1.51-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-f5ad4107cc

Patch:

Fedora Security Update FEDORA-EPEL-2017-5e4edb1320 (Fedora EPEL 7,
fedpkg-1.30-2.el7, rpkg-1.51-1.el7)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-5e4edb1320

Patch:

Fedora Security Update FEDORA-EPEL-2017-68e2defc4c (Fedora EPEL 6,
fedpkg-1.30-2.el6, rpkg-1.51-1.el6)

https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-68e2defc4c

RED-HAT-BUG-ID-1188634: Schwachstelle in fedpkg bzw. rpkg ermöglicht
Manipulation von Dateien

Die Benutzung von ‘git://’ durch die Werkzeuge fedpkg bzw. rpkg bietet
keinerlei Schutz vor Angriffen durch entfernte, nicht authentifizierte
Angreifer in privilegierter Netzwerkposition (Man-in-the-Middle, MitM) wie
z.B. das Manipulieren von spec-Dateien, wodurch das Ausführen von beliebigem
Programmcode in der Entwicklungsumgebung möglich wird.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1916/

Fedora Security Update FEDORA-2017-9cac2b8b4a (Fedora 27, fedpkg-1.30-2.fc27,
rpkg-1.51-1.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-9cac2b8b4a

Fedora Security Update FEDORA-2017-ea72793352 (Fedora 26, fedpkg-1.30-2.fc26,
rpkg-1.51-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-ea72793352

Fedora Security Update FEDORA-2017-f5ad4107cc (Fedora 25, fedpkg-1.30-2.fc25,
rpkg-1.51-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f5ad4107cc

Fedora Security Update FEDORA-EPEL-2017-5e4edb1320 (Fedora EPEL 7,
fedpkg-1.30-2.el7, rpkg-1.51-1.el7):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-5e4edb1320

Fedora Security Update FEDORA-EPEL-2017-68e2defc4c (Fedora EPEL 6,
fedpkg-1.30-2.el6, rpkg-1.51-1.el6):
https://bodhi.fedoraproject.org/updates/FEDORA-EPEL-2017-68e2defc4c

Red Hat Bug ID 1188634:
https://bugzilla.redhat.com/show_bug.cgi?id=1188634

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.