2018-1026: Git: Zwei Schwachstellen ermöglichen u.a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2018-05-30 13:26)

Neues Advisory

Version 2 (2018-06-06 11:32)

Für openSUSE Leap 42.3 und 15.0 stehen Sicherheitsupdates für 'git' zur Verfügung.

Version 3 (2018-06-06 19:24)

Für Ubuntu 18.04 LTS, 18.10, 16.04 LTS und 14.04 LTS stehen Sicherheitsupdates für 'git' zur Behebung der Schwachstellen bereit. Nach Informationen von Canonical ermöglicht die Schwachstelle CVE-2018-11233 dem Angreifer zusätzlich einen Denial-of-Service (DoS)-Angriff.

Version 4 (2018-06-07 18:58)

Für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3, Server for SAP 12 SP2 und 12 SP1, Server 12 SP3, 12 SP2 LTSS, 12 SP1 LTSS und 12 LTSS sowie für OpenStack Cloud 8 und 7, SUSE Enterprise Storage 4, SUSE Container as a Service Platform ALL und OpenStack Cloud Magnum Orchestration 7 stehen Sicherheitsupdates für 'git' zur Behebung der Schwachstellen bereit.

Version 5 (2018-06-27 11:54)

Für Fedora 27 und 28 sowie für Fedora EPEL 7 stehen Sicherheitsupdates für 'libgit2' auf Version 0.26.4 zur Behebung der Schwachstelle CVE-2018-11235 im Status 'testing' bereit.

Version 6 (2018-07-04 13:29)

Für SUSE Linux Enterprise Module for Development Tools und SUSE Linux Enterprise Module for Basesystem jeweils in Version 15 stehen Sicherheitsupdates für git auf Version 2.16.4 bereit, um diese Schwachstellen zu beheben.

Version 7 (2018-07-10 15:58)

Für Red Hat Software Collections 1 für Red Hat Enterprise Linux Server und Workstation 6 und 7 stehen Sicherheitsupdates für das Paket 'rh-git29-git' bereit, mit denen die Schwachstellen behoben werden.

Version 8 (2018-10-19 14:02)

Für SUSE Linux Enterprise Server 12 SP2 BCL steht ein Sicherheitsupdate für das Paket 'git' bereit, mit dem die Schwachstellen behoben werden.

Betroffene Software

Entwicklung
Middleware
Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle in Git ermöglicht einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes mit Hilfe eines speziell präparierten Repositories, das lokal auf eine spezielle Weise geklont werden muss. Eine weitere Schwachstelle auf Systemen mit NTFS-Laufwerken ermöglicht einem lokalen, einfach authentifizierten Angreifer das Ausspähen von Informationen aus dem Speicher.

Die Schwachstellen wurden in Version 2.13.7 der Software behoben und die entsprechenden Fixes auf die Versionen 2.14.4, 2.15.2, 2.16.4 und 2.17.1 vorwärts portiert.

Für Fedora 27 und 28 stehen mit den Paketen 'git-2.14.4-1.fc27' und 'git-2.17.1-2.fc28' Sicherheitsupdates im Status 'pending' bereit.

Die Schwachstelle CVE-2018-11235 wird auch mit Backport-Sicherheitsupdates für Debian Jessie (oldstable) und Stretch (stable) behoben. CVE-2018-11233 wird hier aktuell nicht adressiert, da NTFS standardmäßig nicht unterstützt wird.

Schwachstellen:

CVE-2018-11233

Schwachstelle in Git ermöglicht Ausspähen von Informationen

CVE-2018-11235

Schwachstelle in Git ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.