DFN-CERT

Advisory-Archiv

2016-0469: Git: Zwei Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2016-03-17 13:33)
Neues Advisory
Version 2 (2016-03-17 17:46)
Für openSUSE 13.2 und openSUSE Leap 42.1 stehen Sicherheitsupdates für Git und Cgit bereit, die diese Schwachstellen beheben.
Version 3 (2016-03-21 12:12)
Für openSUSE 13.1 stehen Backport-Sicherheitsupdates für Git und Cgit bereit. Für Fedora 22 steht das Sicherheitsupdate git-2.4.11-1.fc22 im Status 'testing' und für Fedora 23 steht das Sicherheitsupdate git-2.5.5-1.fc23 im Status 'stable' zur Verfügung. Debian veröffentlicht für die Distributionen Debian Jessie (stable) und Wheezy (oldstable) Backport-Sicherheitsupdates für Git.
Version 4 (2016-03-22 10:12)
Canonical veröffentlicht für die Distributionen Ubuntu 12.04 LTS, Ubuntu 14.04 LTS und Ubuntu 15.10 Sicherheitsupdates für Git.
Version 5 (2016-03-23 18:08)
Red Hat stellt für verschiedene Red Hat Enterprise Linux 6 und 7 Produkte sowie für die Red Hat Software Collections auf RHEL 6 und RHEL 7 Sicherheitsupdates für Git bereit.
Version 6 (2016-04-05 21:05)
Für openSUSE Leap 42.1 steht ein Sicherheitsupdate für Git bereit.
Version 7 (2016-05-04 13:40)
Apple stellt die Xcode Version 7.3.1 für OS X El Capitan v10.11 und spätere zur Behebung dieser Schwachstellen zur Verfügung und aktualisiert das darin enthaltene Git auf die Version 2.7.4.

Betroffene Software

Entwicklung
Middleware
Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux

Beschreibung:

Ein entfernter, nicht authentifizierter Angreifer kann aufgrund zweier Schwachstellen in Git eine Speicherkorruption erzeugen und in der Folge beliebigen Programmcode ausführen, indem er beispielsweise ein Git-Repositorium mit einer großen Anzahl an verschachtelten Bäumen oder mit langen Dateinamen klont.

Für die SUSE Linux Enterprise Produkte Software Development Kit 11-SP4, 12 und 12-SP1, Server 12 und 12-SP1 sowie für SUSE OpenStack Cloud 5 stehen Backport-Sicherheitsupdates zur Verfügung.

Schwachstellen:

CVE-2016-2315 CVE-2016-2324

Schwachstellen in Git ermöglichen Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.