UPDATE: DFN-CERT-2015-0428 Mercurial: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][SuSE]

UPDATE: DFN-CERT-2015-0428 Mercurial: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes [Linux][Debian][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (12.05.2015):
Debian stellt für die Distributionen Wheezy (old stable) und Jessie
(stable) Sicherheitsupdates für Mercurial bereit. Das Update für Wheezy
behebt zusätzlich die Schwachstelle CVE-2014-9390, die ein entfernter,
nicht authentisierter Angreifer ebenfalls zum Ausführen beliebigen
Programmcodes ausnutzen kann.
Version 3 (11.05.2015):
Für SUSE Linux Enterprise Software Development Kit 12 steht ein
Sicherheitsupdate bereit.
Version 2 (05.05.2015):
Für SUSE Linux Enterprise Software Development Kit 11 SP3 steht ein
Sicherheitsupdate zur Verfügung.
Version 1 (31.03.2015):
Neues Advisory

Betroffene Software:

Mercurial

Betroffene Plattformen:

SUSE Software Development Kit 11 SP3 Enterprise
SUSE Software Development Kit 12 Enterprise
Debian Linux 7.8 Wheezy
Debian Linux 8.0 Jessie
openSUSE 13.1
openSUSE 13.2

Eine Schwachstelle in Mercurial ermöglicht einem entfernten, einfach
authentifizierten Angreifer beliebigen Programmcode auszuführen.

Für die Distributionen openSUSE 13.1 und openSUSE 13.2 stehen
Sicherheitsupdates bereit.

Patch:

openSUSE Security Update openSUSE-SU-2015:0617-1

http://lists.opensuse.org/opensuse-updates/2015-03/msg00085.html

Patch:

SUSE Security Update SUSE-SU-2015:0817-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150817-1.html

Patch:

SUSE Security Update SUSE-SU-2015:0836-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150836-1.html

Patch:

Debian Security Advisory DSA-3257-1

https://www.debian.org/security/2015/dsa-3257

CVE-2014-9462: Schwachstelle in Mercurial ermöglicht das Ausführen
beliebigen Programmcodes

Eine Schwachstelle in der Funktion sshpeer._validaterepo() in Mercurial
führt dazu, dass der Name eines externen Repositories nicht überprüft wird.
Dadurch ist es möglich Shell-Befehle in den Repository-Namen einzufügen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0428/

openSUSE Security Update openSUSE-SU-2015:0617-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00085.html

Schwachstelle CVE-2014-9462 (NVD):
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9462

SUSE Security Update SUSE-SU-2015:0817-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150817-1.html

SUSE Security Update SUSE-SU-2015:0836-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150836-1.html

Debian Security Advisory DSA-3257-1:
https://www.debian.org/security/2015/dsa-3257

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben