Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Git

Betroffene Plattformen:

Red Hat Fedora 24

Es existieren zwei Schwachstellen in Git, die einem entfernten, nicht
authentifizierten Angreifer in Kombination die Ausführung beliebigen
Programmcodes ermöglichen.

Für Fedora 24 steht ein Sicherheitsupdate zur Behebung der Schwachstellen
auf Git 2.7.4 im Status ‘testing’ bereit.

Patch:

Fedora Security Update FEDORA-2016-8f164810c3 (Fedora 24, git-2.7.4)

https://bodhi.fedoraproject.org/updates/FEDORA-2016-8f164810c3

CVE-2016-2324: Schwachstelle in Git ermöglicht Ausführen beliebigen
Programmcodes

Es existiert eine Schwachstelle in der Funktion “path_name” in Git, weil
durch die Schwachstelle CVE-2016-2315 (falscher Datentyp für ‘nlen’) ein
Integeroverflow und in der Folge das Ausführen beliebigen Programmcodes
möglich ist.

CVE-2016-2315: Schwachstelle in Git ermöglicht Ausführen beliebigen
Programmcodes

Es existiert eine Schwachstelle in der Funktion “path_name” in Git, weil zum
Speichern der Länge eines String aus den Parametern der vorzeichenbehaftete
Datentyp int verwendet wird. In Verbindung mit der CVE-2016-2324
(Integeroverflow) ermöglicht dies das Ausführen beliebigen Programmcodes.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0662/

Schwachstelle CVE-2016-2315 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2315

Schwachstelle CVE-2016-2324 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2324

Fedora Security Update FEDORA-2016-8f164810c3 (Fedora 24, git-2.7.4):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-8f164810c3

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.