2016-0525: Mercurial: Mehrere Schwachstellen ermöglichen die Ausführung beliebigen Programmcodes
Historie:
- Version 1 (2016-03-31 16:11)
- Neues Advisory
- Version 2 (2016-04-05 21:16)
- Debian veröffentlicht Sicherheitsupdates für die oldstable Distribution (wheezy) und die stable Distribution (jessie).
- Version 3 (2016-04-12 18:11)
- SUSE veröffentlicht Sicherheitsupdates für die Distributionen SUSE Linux Enterprise Software Development Kit 11 SP4, 12 und 12 SP1.
- Version 4 (2016-04-13 10:50)
- Für die Distribution openSUSE 13.2 steht ein Sicherheitsupdate bereit.
- Version 5 (2016-04-18 13:21)
- Für die Distribution openSUSE Leap 42.1 steht ein Sicherheitsupdate bereit.
- Version 6 (2016-05-02 18:36)
- Für Red Hat Enterprise Linux 7 stehen Sicherheitsupdates für die Produkte Desktop 7, HPC Node 7 und HPC Node EUS 7.2, Server 7, Server AUS 7.2 und Server EUS 7.2 sowie Workstation 7 bereit, die die Schwachstellen CVE-2016-3068 und CVE-2016-3069 in Mercurial beheben.
Betroffene Software
Entwicklung
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in Mercurial erlauben einem entfernten, nicht authentifizierten Angreifer die Ausführung beliebigen Programmcodes mit Hilfe speziell präparierter Git-Repositories.
Die Entwickler von Mercurial stellen die Version 3.7.3 bereit, um die Schwachstellen zu beheben.
Für Fedora 22, 23 und 24 stehen (Backport-) Sicherheitsupdates in Form der Pakete 'mercurial-3.5.2-1.fc22', 'mercurial-3.5.2-1.fc23' und 'mercurial-3.7.3-1.fc24' im Status 'testing' zur Verfügung.
Schwachstellen:
CVE-2016-3068
Schwachstelle in Mercurial ermöglicht die Ausführung beliebigen ProgrammcodesCVE-2016-3069
Schwachstelle in Mercurial ermöglicht die Ausführung beliebigen ProgrammcodesCVE-2016-3630
Schwachstelle in Mercurial ermöglicht die Ausführung beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.