UPDATE: DFN-CERT-2017-2288 Mercurial: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][SuSE]

UPDATE: DFN-CERT-2017-2288 Mercurial: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes [Linux][SuSE]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (18.01.2018):
Für SUSE Linux Enterprise Software Development Kit 11 SP4, 12 SP2 und 12
SP3 sowie Debuginfo 11 SP4 stehen Sicherheitsupdates für Mercurial zur
Behebung der Schwachstelle bereit.
Version 1 (18.12.2017):
Neues Advisory

Betroffene Software:

Mercurial < 4.4.1 Betroffene Plattformen: SUSE Linux Enterprise Debuginfo 11 SP4 SUSE Linux Enterprise Software Development Kit 11 SP4 SUSE Linux Enterprise Software Development Kit 12 SP2 SUSE Linux Enterprise Software Development Kit 12 SP3 openSUSE Leap 42.2 openSUSE Leap 42.3 Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Mercurial vor Version 4.4.1 ausnutzen, um über speziell präparierte Git-Repositories beliebigen Programmcode zur Ausführung zu bringen. Der Programmcode wird ausgeführt, wenn ein Benutzer von Mercurial das entsprechende Repository klont und Aktionen im Git-Submodul ausführt. Der Hersteller hat die Schwachstelle mit Version 4.4.1 behoben, die aktuelle Version der Software ist 4.4.2. Für openSUSE Leap 42.2 und 42.3 stehen Backport-Sicherheitsupdates zur Verfügung. Patch: Mercurial 4.4.1 Release Notes https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.4.1_.282017-11-07.29

Patch:

openSUSE Security Update openSUSE-SU-2017:3355-1

http://lists.opensuse.org/opensuse-updates/2017-12/msg00071.html

Patch:

SUSE Security Update SUSE-SU-2018:0127-1

http://lists.suse.com/pipermail/sle-security-updates/2018-January/003609.html

Patch:

SUSE Security Update SUSE-SU-2018:0129-1

http://lists.suse.com/pipermail/sle-security-updates/2018-January/003610.html

CVE-2017-17458: Schwachstelle in Mercurial ermöglicht Ausführung beliebigen
Programmcodes

Durch eine Schwachstelle in Mercurial in Repositories mit Git-Submodul ist
es möglich, die Konfiguration eines Git-Repositories zu überschreiben.
Mercurial überschreibt das lokale ‘.git’-Verzeichnis mit von Benutzern
manipulierbaren Daten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-2288/

Schwachstelle CVE-2017-17458 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-17458

Mercurial 4.4.1 Release Notes:
https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.4.1_.282017-11-07.29

openSUSE Security Update openSUSE-SU-2017:3355-1:
http://lists.opensuse.org/opensuse-updates/2017-12/msg00071.html

Mercurial Bug #5730: Arbitrary command execution in mercurial repo with a git
submodule:
https://bz.mercurial-scm.org/show_bug.cgi?id=5730

SUSE Security Update SUSE-SU-2018:0127-1:
http://lists.suse.com/pipermail/sle-security-updates/2018-January/003609.html

SUSE Security Update SUSE-SU-2018:0129-1:
http://lists.suse.com/pipermail/sle-security-updates/2018-January/003610.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben