DFN-CERT-2017-2069 Git: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

DFN-CERT-2017-2069 Git: Eine Schwachstelle ermöglicht einen Denial-of-Service-Angriff [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Git

Betroffene Plattformen:

Red Hat Fedora 25
Red Hat Fedora 26
Red Hat Fedora 27

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in
Git ausnutzen, um einen Denial-of-Service-Angriff durchzuführen.

Für Fedora 25, 26 und 27 stehen Sicherheitsupdates in Form der Pakete
‘git-2.9.5-3.fc25’, ‘git-2.13.6-2.fc26’ und ‘git-2.14.3-2.fc27’ bereit, um
diese Schwachstelle zu beheben. Das Sicherheitsupdate für Fedora 25 befindet
sich im Status ‘testing’, während die anderen derzeit noch im Status
‘pending’ sind.

Patch:

Fedora Security Update FEDORA-2017-2c7ddf53d3 (Fedora 27, git-2.14.3-2.fc27)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-2c7ddf53d3

Patch:

Fedora Security Update FEDORA-2017-742be0e59c (Fedora 26, git-2.13.6-2.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-742be0e59c

Patch:

Fedora Security Update FEDORA-2017-cdfd888e2e (Fedora 25, git-2.9.5-3.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-cdfd888e2e

CVE-2017-15298: Schwachstelle in Git ermöglicht Denial-of-Service-Angriff

Git bis einschließlich Version 2.14.2 behandelt Layer von Baumobjekten (Tree
Objects) fehlerhaft, wodurch die Möglichkeit eines Denial-of-Service
(DoS)-Angriffs mittels eines präparierten Repositories (Git Bomb) besteht,
wobei der Arbeitsspeicher aufgebraucht wird (Memory Consumption). Dies kann
einen Einfluss auf die Belegung des Plattenplatzes haben, allerdings wird
ein betroffener Prozess normalerweise den Versuch, derartige Datenstrukturen
im Speicher aufzubauen, nicht überleben, bis er diese auf Festplatte
schreiben kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2069/

Schwachstelle CVE-2017-15298 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-15298

Fedora Security Update FEDORA-2017-2c7ddf53d3 (Fedora 27, git-2.14.3-2.fc27):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-2c7ddf53d3

Fedora Security Update FEDORA-2017-742be0e59c (Fedora 26, git-2.13.6-2.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-742be0e59c

Fedora Security Update FEDORA-2017-cdfd888e2e (Fedora 25, git-2.9.5-3.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-cdfd888e2e

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben