2018-2032: Git, Libgit: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2018-10-08 14:31)

Neues Advisory

Version 2 (2018-10-09 11:46)

Für die Distributionen Fedora 27 und 28 sowie für Fedora EPEL 7 stehen Sicherheitsupdates in Form eines Updates auf die Libgit2 Version 0.26.7 im Status 'testing' zur Behebung der Schwachstelle zu Verfügung.

Version 3 (2018-10-12 11:57)

Für die Distributionen Ubuntu 14.04 LTS, Ubuntu 16.04 LTS und Ubuntu 18.04 LTS stehen Sicherheitsupdates in Form von Backports für Git zur Behebung der Schwachstelle zur Verfügung.

Version 4 (2018-10-12 14:55)

Für openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'git' zur Behebung der Schwachstelle zur Verfügung.

Version 5 (2018-10-16 12:17)

Für SUSE Linux Enterprise Module for Development Tools und Module for Basesystem 15 stehen Sicherheitsupdates für das Paket 'git' bereit, die die Schwachstelle adressieren.

Version 6 (2018-10-17 12:10)

Für die Distribution openSUSE Leap 15.0 steht ein Sicherheitsupdate für Git zur Behebung der Schwachstelle zur Verfügung.

Version 7 (2018-11-01 11:56)

Für die Red Hat Enterprise Linux (RHEL) Produkte Server, Workstation, Desktop for Scientific Computing und for ARM 7 sowie für RHEL Server AUS, EUS, TUS, und HPC Node in Version 7.6 stehen Sicherheitsupdates für 'git' bereit, um diese Schwachstelle zu beheben.

Version 8 (2018-11-12 10:49)

Für Oracle Linux 7 (x86_64, aarch64) stehen Sicherheitsupdates zur Behebung der Schwachstelle CVE-2018-17456 in 'git' bereit.

Version 9 (2018-11-13 11:12)

Für Red Hat Software Collections stehen Sicherheitsupdates bereit, mit denen die Schwachstelle in 'rh-git29-git' behoben wird. Die Updates stehen damit unter anderem für Red Hat Software Collections (for RHEL Server) 1 for RHEL 6, 6.7, 7, 7.3, 7.4, 7.5 und 7.6, für Red Hat Software Collections (for RHEL Server for ARM) 1 sowie für Red Hat Software Collections (for RHEL Workstation) 1 for RHEL 6 und 7 bereit.

Version 10 (2018-12-10 13:25)

Für SUSE Linux Enterprise Module for Development Tools 15 sowie openSUSE Leap 15.0 stehen Sicherheitsupdates für das Paket 'libgit2' zur Behebung der Schwachstelle bereit.

Version 11 (2018-12-13 10:49)

SUSE stellt für die SUSE Linux Enterprise Produkte Software Development Kit 12 SP3, Server for SAP 12 SP2, Server 12 SP3, 12 SP2 LTSS, 12 SP2 BCL, 12 SP1 LTSS und 12 LTSS, SUSE Enterprise Storage 4, SUSE CaaS Platform ALL und 3.0 sowie SUSE OpenStack Cloud 7, 8 und OpenStack Cloud Magnum Orchestration 7 Sicherheitsupdates für 'git' zur Verfügung, um die Schwachstelle zu beheben.

Version 12 (2019-01-08 13:45)

Für SUSE Manager Server 3.1 und 3.2 sowie SUSE Linux Enterprise Software Development Kit 12 SP3 und 12 SP4 stehen Sicherheitsupdates für 'libgit2' bereit, um diese Schwachstelle und ein weiteres Problem zu beheben. Für die bekannte Schwachstelle in Git verwendet SUSE für Libgit nun die Schwachstellen-ID CVE-2018-19456.

Version 13 (2019-01-14 10:56)

Für die Distribution openSUSE Leap 42.3 steht ein Sicherheitsupdate für 'libgit2' zur Verfügung, um die Schwachstelle CVE-2018-19456 (diese Schwachstellen-ID wird mittlerweile von SUSE für die bekannte Git Schwachstelle in der Bibliothek Libgit verwendet) zu beheben.

Version 14 (2019-04-29 12:43)

Für SUSE Linux Enterprise Server for SAP 12 SP1 steht ein Sicherheitsupdate für Git zur Behebung der Schwachstelle zur Verfügung.

Version 15 (2019-10-04 16:18)

Für SUSE Linux Enterprise Software Development Kit 12 SP4 und SUSE Linux Enterprise Server 12 SP4 stehen Sicherheitsupdates für Git zur Behebung der Schwachstelle zur Verfügung.

Version 16 (2020-02-03 14:53)

Red Hat veröffentlicht für die Red Hat Enterprise Linux 6 Produktvarianten for Scientific Computing, Server, Workstation und Desktop Sicherheitsupdates für 'git', um die Schwachstelle CVE-2018-17456 zu beheben.

Version 17 (2020-02-04 10:08)

Für Oracle Linux 6 (x86_64, i386) stehen Sicherheitsupdates zur Behebung der Schwachstelle CVE-2018-17456 in 'git' bereit.

Betroffene Software

Entwicklung
Middleware
Server
Systemsoftware

Betroffene Plattformen

Netzwerk
Cloud
Linux
Oracle

Beschreibung:

Eine Schwachstelle in Git ermöglicht einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes.

Der Hersteller behebt die Schwachstelle und stellt als Sicherheitsupdate von Git die Versionen 2.14.5, 2.15.3, 2.16.5, 2.17.2, 2.18.1 und 2.19.1 zur Verfügung.

Debian stellt ein Backport-Sicherheitsupdate für die stabile Distribution (Stretch) in der Version '1:2.11.0-3+deb9u4' bereit.

Für Fedora 27 und 28 stehen die Pakete 'git-2.14.5-1.fc27' und 'git-2.17.2-1.fc28' als Sicherheitsupdates im Status 'testing' bereit.

Zusätzlich werden für Fedora 28 Modular Updates für die Bibliothek libgit2 für die Versionszweige 0.26 und 27 angeboten. Die Bibliothek selber ist zwar nicht verwundbar, kann aber zum Einspeisen von Optionen in eine Implementierung, die ein rekursives Klonen über ein externes Kommando ausführt, benutzt werden. Die Pakete 'libgit2-0.26-20181006095632.9c690d0e' und 'libgit2-0.27-20181006095357.9c690d0e' stehen im Status 'testing zur Verfügung.

Schwachstellen:

CVE-2018-17456

Schwachstelle in Git ermöglicht Ausführen beliebigen Programmcodes

CVE-2018-19456

Schwachstelle in Libgit ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.