Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 4 (22.03.2016):
Canonical veröffentlicht für die Distributionen Ubuntu 12.04 LTS, Ubuntu
14.04 LTS und Ubuntu 15.10 Sicherheitsupdates für Git.
Version 3 (21.03.2016):
Für openSUSE 13.1 stehen Backport-Sicherheitsupdates für Git und Cgit
bereit. Für Fedora 22 steht das Sicherheitsupdate git-2.4.11-1.fc22 im
Status ‘testing’ und für Fedora 23 steht das Sicherheitsupdate
git-2.5.5-1.fc23 im Status ‘stable’ zur Verfügung. Debian veröffentlicht
für die Distributionen Debian Jessie (stable) und Wheezy (oldstable)
Backport-Sicherheitsupdates für Git.
Version 2 (17.03.2016):
Für openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates für Git
und Cgit bereit, die diese Schwachstellen beheben.
Version 1 (17.03.2016):
Neues Advisory
Betroffene Software:
Cgit
Git
Betroffene Plattformen:
SUSE OpenStack Cloud 5
SUSE Linux Enterprise Software Development Kit 11 SP4
SUSE Linux Enterprise Software Development Kit 12
SUSE Linux Enterprise Software Development Kit 12 SP1
Canonical Ubuntu Linux 12.04 Lts
Canonical Ubuntu Linux 14.04 Lts
Canonical Ubuntu Linux 15.10
Debian Linux 7.9 Wheezy
Debian Linux 8.3 Jessie
openSUSE 13.1
openSUSE 13.2
openSUSE Leap 42.1
SUSE Linux Enterprise Server 12
SUSE Linux Enterprise Server 12 SP1
Red Hat Fedora 22
Red Hat Fedora 23
Ein entfernter, nicht authentifizierter Angreifer kann aufgrund zweier
Schwachstellen in Git eine Speicherkorruption erzeugen und in der Folge
beliebigen Programmcode ausführen, indem er beispielsweise ein
Git-Repositorium mit einer großen Anzahl an verschachtelten Bäumen oder mit
langen Dateinamen klont.
Für die SUSE Linux Enterprise Produkte Software Development Kit 11-SP4, 12
und 12-SP1, Server 12 und 12-SP1 sowie für SUSE OpenStack Cloud 5 stehen
Backport-Sicherheitsupdates zur Verfügung.
Patch:
SUSE Security Update SUSE-SU-2016:0796-1
https://www.suse.com/support/update/announcement/2016/suse-su-20160796-1.html
Patch:
SUSE Security Update SUSE-SU-2016:0798-1
https://www.suse.com/support/update/announcement/2016/suse-su-20160798-1.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0802-1
https://lists.opensuse.org/opensuse-updates/2016-03/msg00070.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0803-1
https://lists.opensuse.org/opensuse-updates/2016-03/msg00071.html
Patch:
Fedora Security Update FEDORA-2016-6554eff611 (Fedora 23, Git 2.5.5)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-6554eff611
Patch:
Fedora Security Update FEDORA-2016-cee7647200 (Fedora 22, Git 2.4.11)
https://bodhi.fedoraproject.org/updates/FEDORA-2016-cee7647200
Patch:
Debian Security Advisory DSA-3521-1
https://www.debian.org/security/2016/dsa-3521
Patch:
openSUSE Security Update openSUSE-SU-2016:0829-1
http://lists.opensuse.org/opensuse-updates/2016-03/msg00083.html
Patch:
openSUSE Security Update openSUSE-SU-2016:0832-1
http://lists.opensuse.org/opensuse-updates/2016-03/msg00086.html
Patch:
Ubuntu Security Notice USN-2938-1
http://www.ubuntu.com/usn/usn-2938-1/
CVE-2016-2315 CVE-2016-2324: Schwachstellen in Git ermöglichen Ausführung
beliebigen Programmcodes
Aufgrund von zwei Schwachstellen in der Funktion ‘path_name’ ist Git aus der
Entfernung verwundbar. Zum einen wird für das Speichern der Länge einer
Zeichenkette (String) aus den Parametern fälschlicherweise der
vorzeichenbehaftete Datentyp Ganzzahl (Integer, ‘int’) statt ‘size_t’
verwendet (CVE-2016-2315), zum anderen ist es in Verbindung mit einer
fehlenden Überprüfung des Parameters möglich, diesen String so zu
manipulieren, dass ein Ganzzahlenüberlauf (Integer-Overflow) die Folge ist
und der Wert der Variable negativ wird (CVE-2016-2324). Da die Variable im
Programmablauf zur Allokation von Speicher verwendet wird und dadurch
weniger Speicher reserviert wird als notwendig, kommt es in der Folge zu
einem Schreibzugriff außerhalb des zugewiesenen Heap-Speicherbereiches. Ein
entfernter, nicht authentifizierter Angreifer kann dadurch beliebigen
Programmcode ausführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0469/
Schwachstelle CVE-2016-2315 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2315
Schwachstelle CVE-2016-2324 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2324
SUSE Security Update SUSE-SU-2016:0796-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160796-1.html
SUSE Security Update SUSE-SU-2016:0798-1:
https://www.suse.com/support/update/announcement/2016/suse-su-20160798-1.html
openSUSE Security Update openSUSE-SU-2016:0802-1:
https://lists.opensuse.org/opensuse-updates/2016-03/msg00070.html
openSUSE Security Update openSUSE-SU-2016:0803-1:
https://lists.opensuse.org/opensuse-updates/2016-03/msg00071.html
Red Hat Bug 1317981:
https://bugzilla.redhat.com/show_bug.cgi?id=1317981
Fedora Security Update FEDORA-2016-6554eff611 (Fedora 23, Git 2.5.5):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-6554eff611
Fedora Security Update FEDORA-2016-cee7647200 (Fedora 22, Git 2.4.11):
https://bodhi.fedoraproject.org/updates/FEDORA-2016-cee7647200
Debian Security Advisory DSA-3521-1:
https://www.debian.org/security/2016/dsa-3521
openSUSE Security Update openSUSE-SU-2016:0829-1:
http://lists.opensuse.org/opensuse-updates/2016-03/msg00083.html
openSUSE Security Update openSUSE-SU-2016:0832-1:
http://lists.opensuse.org/opensuse-updates/2016-03/msg00086.html
Ubuntu Security Notice USN-2938-1:
http://www.ubuntu.com/usn/usn-2938-1/
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
