DFN-CERT-2017-1418 Git: Eine Schwachstelle ermöglicht die Ausführung beliebiger Befehle [Linux][Debian][Fedora][Unix][Apple][Solaris][Windows]

DFN-CERT-2017-1418 Git: Eine Schwachstelle ermöglicht die Ausführung beliebiger Befehle [Linux][Debian][Fedora][Unix][Apple][Solaris][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Git < 2.7.6 Git < 2.8.6 Git < 2.9.5 Git < 2.10.4 Git < 2.11.3 Git < 2.12.4 Git < 2.13.5 Git < 2.14.1 Betroffene Plattformen: Apple Mac OS X macOS Sierra Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 17.04 Debian Linux 8.9 Jessie Debian Linux 9.1 Stretch GNU/Linux Microsoft Windows Oracle Solaris Red Hat Fedora 25 Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle über eine präparierte 'ssh://'-URL ausnutzen und so einen Git-Benutzer über unterschiedliche Vektoren angreifen. Hierfür kann er beispielsweise einen bösartig präparierten Git-Server verwenden, der eine zur Ausnutzung der Schwachstelle präparierte URL generiert, zudem kann er über einen bösartigen Commit Benutzer eines Repositories angreifen und möglicherweise einen Proxy-Server für einen Angriff verwenden. Eine erfolgreiche Ausnutzung ermöglicht dem Angreifer beliebige Shell-Befehle auf dem System des betroffenen Benutzers zur Ausführung zu bringen, wenn er den Benutzer zusätzlich verleiten kann diese URL aufzurufen. Beispielsweise kann die URL in die Datei '.gitmodules' eines entfernten Repositories eingebracht und über den unverdächtigen Befehl 'git clone --recurse-submodules' aufgerufen werden. Der Hersteller stellt die Versionen 2.7.6, 2.8.6, 2.9.5, 2.10.4, 2.11.3, 2.12.4, 2.13.5 und 2.14.1 als Sicherheitsupdates bereit. Debian stellt für die Distributionen Jessie (oldstable) und Stretch (stable) Backport-Sicherheitsupdates bereit. Canonical veröffentlicht für die Distributionen Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Backport-Sicherheitsupdates. Für Fedora 25 steht die Version 2.9.5 und für Fedora 26 die Version 2.13.5 als Sicherheitsupdates im Status 'pending' bereit. Patch: Debian Security Advisory DSA-3934-1 https://www.debian.org/security/2017/dsa-3934

Patch:

Fedora Security Update FEDORA-2017-8ba7572cfd (Fedora 25, git-2.9.5-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-8ba7572cfd

Patch:

Fedora Security Update FEDORA-2017-b1b3ae6666 (Fedora 26, git-2.13.5-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-b1b3ae6666

Patch:

Git v2.7.6, v2.8.6, v2.9.5, v2.10.4, v2.11.3, v2.12.4, v2.13.5.v, 2.14.1
Release Announcement

https://public-inbox.org/git/xmqqh8xf482j.fsf@gitster.mtv.corp.google.com/T/#u

Patch:

Ubuntu Security Notice USN-3387-1

http://www.ubuntu.com/usn/usn-3387-1/

CVE-2017-1000117: Schwachstelle in Git ermöglicht Ausführung beliebiger
Befehle

Aufgrund der Art und Weise wie der Git-Client mit ‘ssh://’-URLs umgeht
existiert eine Schwachstelle in Git.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-1418/

Debian Security Advisory DSA-3934-1:
https://www.debian.org/security/2017/dsa-3934

Fedora Security Update FEDORA-2017-8ba7572cfd (Fedora 25, git-2.9.5-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-8ba7572cfd

Fedora Security Update FEDORA-2017-b1b3ae6666 (Fedora 26, git-2.13.5-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-b1b3ae6666

Git v2.7.6, v2.8.6, v2.9.5, v2.10.4, v2.11.3, v2.12.4, v2.13.5.v, 2.14.1
Release Announcement:
https://public-inbox.org/git/xmqqh8xf482j.fsf@gitster.mtv.corp.google.com/T/#u

Ubuntu Security Notice USN-3387-1:
http://www.ubuntu.com/usn/usn-3387-1/

Schwachstelle CVE-2017-1000117 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-1000117

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben