2017-1435: CVS: Eine Schwachstelle ermöglicht die Ausführung beliebiger Befehle

Historie:

Version 1 (2017-08-14 14:10)

Neues Advisory

Version 2 (2017-08-15 11:14)

Für Fedora 25 und 26 stehen die Pakete 'cvs-1.11.23-41.fc25' und 'cvs-1.11.23-42.fc26' als Sicherheitsupdates im Status 'testing' bereit.

Version 3 (2017-08-22 11:21)

Canonical stellt für die Distributionen Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Sicherheitsupdates für 'cvs' bereit.

Version 4 (2017-09-13 11:29)

Für die SUSE Linux Enterprise Produkte Software Development Kit 11 SP4, Server 11 SP4, 12 SP2 und 12 SP3, Server for Raspberry Pi 12 SP2, Desktop 12 SP2 und 12 SP3 sowie Debuginfo 11 SP4 stehen Sicherheitsupdates für CVS bereit, um die Schwachstelle zu beheben.

Version 5 (2017-09-15 16:09)

openSUSE veröffentlicht Sicherheitsupdates für openSUSE Leap 42.2 und openSUSE Leap 42.3, um die Schwachstelle zu beheben.

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Eine Schwachstelle in CVS ermöglicht einem entfernten, nicht authentisierten Angreifer mit Hilfe präparierter 'ssh://'-URLs beliebige Shell-Befehle auf dem System eines anderen CVS-Benutzers zur Ausführung zu bringen.

Debian stellt für die stabile Distribution Stretch sowie die vormals stabile Distribution Jessie Sicherheitsupdates für 'cvs' bereit.

Schwachstellen:

CVE-2017-12836

Schwachstelle in CVS ermöglicht Ausführung beliebiger Befehle

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.