Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (11.05.2015):
Für SUSE Linux Enterprise Software Development Kit 12 steht ein
Sicherheitsupdate bereit.
Version 2 (05.05.2015):
Für SUSE Linux Enterprise Software Development Kit 11 SP3 steht ein
Sicherheitsupdate zur Verfügung.
Version 1 (31.03.2015):
Neues Advisory

Betroffene Software:

Mercurial

Betroffene Plattformen:

SUSE Software Development Kit 11 SP3 Enterprise
SUSE Software Development Kit 12 Enterprise
openSUSE 13.1
openSUSE 13.2

Eine Schwachstelle in Mercurial ermöglicht einem entfernten, einfach
authentifizierten Angreifer beliebigen Programmcode auszuführen.

Für die Distributionen openSUSE 13.1 und openSUSE 13.2 stehen
Sicherheitsupdates bereit.

Patch:

openSUSE Security Update openSUSE-SU-2015:0617-1

http://lists.opensuse.org/opensuse-updates/2015-03/msg00085.html

Patch:

SUSE Security Update SUSE-SU-2015:0817-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150817-1.html

Patch:

SUSE Security Update SUSE-SU-2015:0836-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150836-1.html

CVE-2014-9462: Schwachstelle in Mercurial ermöglicht das Ausführen
beliebigen Programmcodes

Eine Schwachstelle in der Funktion sshpeer._validaterepo() in Mercurial
führt dazu, dass der Name eines externen Repositories nicht überprüft wird.
Dadurch ist es möglich Shell-Befehle in den Repository-Namen einzufügen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0428/

openSUSE Security Update openSUSE-SU-2015:0617-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00085.html

Schwachstelle CVE-2014-9462 (NVD):
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9462

SUSE Security Update SUSE-SU-2015:0817-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150817-1.html

SUSE Security Update SUSE-SU-2015:0836-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150836-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (05.05.2015):
Für SUSE Linux Enterprise Software Development Kit 11 SP3 steht ein
Sicherheitsupdate zur Verfügung.
Version 1 (31.03.2015):
Neues Advisory

Betroffene Software:

Mercurial

Betroffene Plattformen:

SUSE Software Development Kit 11 SP3 Enterprise
openSUSE 13.1
openSUSE 13.2

Eine Schwachstelle in Mercurial ermöglicht einem entfernten, einfach
authentifizierten Angreifer beliebigen Programmcode auszuführen.

Für die Distributionen openSUSE 13.1 und openSUSE 13.2 stehen
Sicherheitsupdates bereit.

Patch:

openSUSE Security Update openSUSE-SU-2015:0617-1

http://lists.opensuse.org/opensuse-updates/2015-03/msg00085.html

Patch:

SUSE Security Update SUSE-SU-2015:0817-1

https://www.suse.com/support/update/announcement/2015/suse-su-20150817-1.html

CVE-2014-9462: Schwachstelle in Mercurial ermöglicht das Ausführen
beliebigen Programmcodes

Eine Schwachstelle in der Funktion sshpeer._validaterepo() in Mercurial
führt dazu, dass der Name eines externen Repositories nicht überprüft wird.
Dadurch ist es möglich Shell-Befehle in den Repository-Namen einzufügen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0428/

openSUSE Security Update openSUSE-SU-2015:0617-1:
http://lists.opensuse.org/opensuse-updates/2015-03/msg00085.html

Schwachstelle CVE-2014-9462 (NVD):
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9462

SUSE Security Update SUSE-SU-2015:0817-1:
https://www.suse.com/support/update/announcement/2015/suse-su-20150817-1.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.