2018-1977: Pagure: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2018-10-01 16:16)

Neues Advisory

Version 2 (2019-01-30 11:47)

Für Fedora EPEL 7 steht ein neues Sicherheitsupdate bereit, mit dem Pagure auf Version 5.2 aktualisiert und die Schwachstelle CVE-2017-1002151 behoben wird. Um diese Version zu unterstützen werden für Fedora EPEL 7 die Pakete 'celery' in Version 4.2.1, 'kombu' in Version 4.2.2, 'billiard' in Version 3.5.0.5, 'vine' in Version 1.2.0 und 'amqp' in Version 2.4.0 bereitgestellt. Das vorangegangene Update FEDORA-EPEL-2018-c887b5aaa9 befindet sich mittlerweile im Status 'unpushed' (Referenz hier entfernt).

Betroffene Software

Entwicklung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Pagure ausnutzen, um private Repositories über SSH auszuspähen.

Für Fedora EPEL 7 steht ein Sicherheitsupdate für Pagure auf die unterstützte Version 5.0.1 in Form des Pakets 'pagure-5.0.1-2.el7' bereit, um diese Schwachstelle und eine Reihe weiterer Fehler zu beheben.

In den Kommentaren zu dem Update befindet sich der Hinweis, dass diese Version von Pagure das Paket 'python-celery' als Abhängigkeit benötigt, welches aber durch Red Hat nicht zur Verfügung gestellt wird. Vermutlich ist diese Version aufgrund der Abhängigkeitsprüfungen (bzw. deren Umgehung) durch RPM daher entweder nicht installierbar oder nicht lauffähig. Um die Abhängigkeit zu erfüllen, müsste das Paket manuell installiert werden. Da dem Paketverwalter das Problem aus den Kommentaren ersichtlich ist, wird durch das Fedoraprojekt aber sicherlich zeitnah eine Lösung angeboten werden.

Schwachstellen:

CVE-2017-1002151

Schwachstelle in Pagure ermöglicht Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.