Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Fossil < 2.4 Betroffene Plattformen: openSUSE Leap 42.2 openSUSE Leap 42.3 Eine Schwachstelle ermöglicht einem entfernten, nicht authentisierten Angreifer das Umgehen von Sicherheitsvorkehrungen und in der Folge die Ausführung beliebigen Programmcodes. SUSE stellt für die Distributionen openSUSE Leap 42.2 und openSUSE Leap 42.3 Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung. Patch: openSUSE Security Update openSUSE-SU-2017:3271-1 http://lists.opensuse.org/opensuse-updates/2017-12/msg00046.html

CVE-2017-17459: Schwachstelle in Fossil emöglicht u.a. das Umgehen von
Sicherheitsvorkehrungen

Eine fehlerhafte Überprüfung von Eingaben in der Datei ‘http_transport.c’
führt zu einer Interpretation von Eingaben innerhalb einer SSH-URL wenn das
‘SSH sync’-Protokoll genutzt wird. Dadurch können mittels einer schädlich
präparierten SSH-URL beliebige Kommandos zur Ausführung gebracht werden.
Voraussetzung dafür ist, dass es einem Angreifer gelingt, einen Nutzer dazu
zu verleiten, eine schädlich präparierte SSH-URL zu verwenden, um sich z.B.
mit einem entfernten Server zu verbinden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2259/

Schwachstelle CVE-2017-17459 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-17459

openSUSE Security Update openSUSE-SU-2017:3271-1:
http://lists.opensuse.org/opensuse-updates/2017-12/msg00046.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.