2017-1415: Apache Software Foundation Subversion: Eine Schwachstelle ermöglicht die Ausführung beliebiger Kommandozeilenbefehle

Historie:

Version 1 (2017-08-11 13:06)

Neues Advisory

Version 2 (2017-08-14 11:33)

Für Fedora 25 und 26 steht die stabile Version 1.9.7 von Subversion als Sicherheitsupdate im Status 'testing' bereit.

Version 3 (2017-08-15 11:22)

Für SUSE Linux Enterprise Software Development Kit 11 SP4 und Debuginfo 11 SP4 sowie SUSE Studio Onsite 1.3 stehen Backport-Sicherheitsupdates für Subversion bereit, die die Schwachstellen CVE-2016-8734 und CVE-2017-9800 beheben.

Version 4 (2017-08-16 12:54)

Red Hat stellt für die Red Hat Enterprise Linux 7 Produktvarianten Server, Workstation, Desktop und Linux for Scientific Computing sowie für Compute Node 7.4 Extended Update Support (EUS) und die Server 7.4 Produktversionen Extended Update Support (EUS), Advanced Update Support (AUS) und Telco Update Support (TUS) Sicherheitsupdates für 'subversion' bereit. Oracle stellt für Oracle Linux 7 (x86_64) ein Sicherheitsupdate für 'subversion' zur Verfügung.

Version 5 (2017-08-17 13:52)

Für openSUSE Leap 42.2 und 42.3 stehen Sicherheitsupdates auf Subversion 1.9.7 bereit. Hier werden die Schwachstellen CVE-2017-9800 aus dem aktuellen und CVE-2005-4900 aus einem vorangegangenen Sicherheitshinweis für Subversion adressiert.

Version 6 (2017-10-25 11:51)

Canonical veröffentlicht für Ubuntu 12.04 LTS (ESM) das korrespondierende Sicherheitsupdate zu der Meldung USN-3388-1. Anders als in dieser adressiert das nun veröffentlichte Sicherheitsupdate die Schwachstelle CVE-2016-8734 nicht, aber adressiert dafür zusätzlich die Schwachstelle CVE-2016-2168 (hier hinzugefügt). Diese ermöglicht einem entfernten, nicht authentisierten Angreifer die Durchführung eines Denial-of-Service (DoS)-Angriffs.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux
Oracle

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell präparierter URLs einen Subversion-Client zur Ausführung beliebiger Shell-Befehle bringen. Solche URLs können von bösartigen Servern, von Benutzern zum Angriff auf andere Benutzer (über Commits an gutartige Server) oder über Proxy-Server eingeschleust werden.

Der Hersteller informiert über die Schwachstelle (CVE-2017-9800) in Subversion Clients 1.0.0 bis 1.8.18, 1.9.0 bis 1.9.6 und 1.10.0-alpha3 und stellt die Versionen 1.8.19 und 1.9.7 als Sicherheitsupdates zur Verfügung. Für die Versionszweige 1.6, 1.8 und 1.9 stehen Patches zur Verfügung.

Canonical stellt für Ubuntu Linux 14.04 LTS, 16.04 LTS und 17.04 Backport-Sicherheitsupdates bereit. Für Ubuntu 14.04 LTS und 16.04 LTS werden mit diesen Updates zusätzlich die Schwachstellen CVE-2016-2167 (Umgehen von Zugangsbeschränkungen) und CVE-2016-8734 (Denial-of-Service) behoben.

Für Debian Jessie (oldstable) und Stretch (stable) stehen ebenfalls Backport-Sicherheitsupdates zur Verfügung. Debian Jessie wird dadurch zusätzlich gegen die Ausnutzung der Schwcahstelle CVE-2016-8734 abgesichert.

Die Schwachstelle besteht auch in anderen Versionskontrollsystemen, dafür stehen gesonderte Sicherheitsupdates zur Verfügung. Bisher wurden die Schwachstellenbezeichner CVE-2017-12426 (GitLab), CVE-2017-1000116 (Mercurial (hg)) und CVE-2017-1000117 (Git) vergeben. CVS scheint auch betroffen, Informationen dazu stehen aber noch aus.

Schwachstellen:

CVE-2016-2167

Schwachstelle in Subversion ermöglicht Umgehen von Sicherheitsvorkehrungen

CVE-2016-2168

Schwachstelle in Subversion ermöglicht Denial-of-Service

CVE-2016-8734

Denial-of-Service-Schwachstelle in Subversion-Modul mod_dontdothat

CVE-2017-9800

Schwachstelle in Apache Subversion ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.