UPDATE: DFN-CERT-2017-0823 Git: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Debian][Fedora][SuSE]

UPDATE: DFN-CERT-2017-0823 Git: Eine Schwachstelle ermöglicht die Manipulation von Dateien [Linux][Debian][Fedora][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (19.05.2017):
Für die SUSE Linux Enterprise Produkte Software Development Kit und Server
stehen für die Versionen 12 SP1 und 12 SP2 sowie für SUSE Linux Enterprise
Server for Raspberry Pi 12 SP2 und OpenStack Cloud Magnum Orchestration 7
Sicherheitsupdates für git bereit.
Version 2 (15.05.2017):
Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.10, Ubuntu
16.04 LTS und Ubuntu 14.04 LTS verschiedene Backport-Sicherheitsupdates
bereit, um diese Schwachstelle zu beheben.
Version 1 (10.05.2017):
Neues Advisory

Betroffene Software:

Git < 2.4.12 Git < 2.5.6 Git < 2.6.7 Git < 2.7.5 Git < 2.8.5 Git < 2.9.4 Git < 2.10.3 Git < 2.11.2 Git < 2.12.3 Betroffene Plattformen: SUSE Linux Enterprise Software Development Kit 12 SP1 SUSE Linux Enterprise Software Development Kit 12 SP2 OpenStack Magnum 7 Canonical Ubuntu Linux 14.04 LTS Canonical Ubuntu Linux 16.04 LTS Canonical Ubuntu Linux 16.10 Canonical Ubuntu Linux 17.04 Debian Linux 8.8 Jessie SUSE Linux Enterprise Server 12 SP1 SUSE Linux Enterprise Server 12 SP2 SUSE Linux Enterprise Server 12 SP2 for Raspberry Pi Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Git ausnutzen, um Dateien in entfernten Repositorien zu manipulieren, deren Name mit einem Dash ('-') beginnt. Zur Behebung der Schwachstelle stehen die Versionen 2.4.12, 2.5.6, 2.6.7, 2.7.5, 2.8.5, 2.9.4, 2.10.3, 2.11.2 und 2.12.3 von Git bereit. Debian stellt für die stabile Distribution Debian Jessie ein Backport-Sicherheitsupdate bereit. Für Fedora 24, 25 und 26 stehen mit den Paketen 'git-2.7.5-1.fc24', 'git-2.9.4-1.fc25' und 'git-2.13.0-1.fc26' Sicherheitsupdates auf aktuelle Versionen von Git im Status 'pending' bereit. Patch: Debian Security Advisory DSA-3848-1 https://www.debian.org/security/2017/dsa-3848

Patch:

Download Git

https://git-scm.com/download

Patch:

Fedora Security Update FEDORA-2017-01a7989fc0 (git-2.7.5-1.fc24)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-01a7989fc0

Patch:

Fedora Security Update FEDORA-2017-7ea0e02914 (git-2.13.0-1.fc26)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-7ea0e02914

Patch:

Fedora Security Update FEDORA-2017-f4319b6dfc (git-2.9.4-1.fc25)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-f4319b6dfc

Patch:

Ubuntu Security Notice USN-3287-1

http://www.ubuntu.com/usn/usn-3287-1/

Patch:

SUSE Security Update SUSE-SU-2017:1357-1

http://lists.suse.com/pipermail/sle-security-updates/2017-May/002902.html

CVE-2017-8386: Schwachstelle in Git ermöglicht Manipulation von Dateien

Die Verbindung zu entfernten Servern über ‘git-shell’ (SSH) erlaubt erlaubt
die Verwendung von Optionen, die über Dashes (‘-‘) in die Kommandozeile
eingegeben werden können. Die Verwendung von Repositorien mit Namen, die
einen vorangestellten Dash enthalten, ist für ‘git-shell’ nicht eindeutig
implementiert. Die Ergebnisse von Befehlszeilenoperationen in diesem Kontext
sind daher nicht eindeutig und können von Denial-of-Service (DoS)-Zuständen
(Ausführung des Befehls wird verweigert) bis hin zur unautorisierten
Manipulation von Dateien (über die Option ‘–help’ wird ein interaktiver
Terminal Pager wie ’emacs’ oder ‘nano’ gestartet) reichen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0823/

Debian Security Advisory DSA-3848-1:
https://www.debian.org/security/2017/dsa-3848

Download Git:
https://git-scm.com/download

Fedora Security Update FEDORA-2017-01a7989fc0 (git-2.7.5-1.fc24):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-01a7989fc0

Fedora Security Update FEDORA-2017-7ea0e02914 (git-2.13.0-1.fc26):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-7ea0e02914

Fedora Security Update FEDORA-2017-f4319b6dfc (git-2.9.4-1.fc25):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-f4319b6dfc

Schwachstelle CVE-2017-8386 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-8386

Update Announcement Git v2.4.12, v2.5.6, v2.6.7, v2.7.5, v2.8.5,
v2.9.4, v2.10.3, v2.11.2, and v2.12.3:
https://public-inbox.org/git/xmqq8tm5ziat.fsf@gitster.mtv.corp.google.com/

Ubuntu Security Notice USN-3287-1:
http://www.ubuntu.com/usn/usn-3287-1/

SUSE Security Update SUSE-SU-2017:1357-1:
http://lists.suse.com/pipermail/sle-security-updates/2017-May/002902.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben