2019-2605: Git, libgit2: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2019-12-11 16:43)
- Neues Advisory
- Version 2 (2019-12-11 17:02)
- Neben der Version 2.14.6 steht die Git Version 2.24.1 zur Behebung der Schwachstellen zur Verfügung.
- Version 3 (2019-12-12 11:09)
- Als Sicherheitsupdates für die einzelnen Versionszweige von Git stehen die Versionen 2.24.1, 2.23.1, 2.22.2, 2.21.1, 2.20.2, 2.19.3, 2.18.2, 2.17.3, 2.16.6, 2.15.4 und 2.14.6 zur Verfügung. Für Windows wird die Version 2.24.1(2) als Sicherheitsupdate bereitgestellt
- Version 4 (2019-12-17 10:48)
- Für SUSE CaaS Platform 3.0, SUSE Enterprise Storage 5, SUSE OpenStack Cloud 7 und 8, SUSE Linux Enterprise Server 12 SP5, SP4, SP3 LTSS, SP3 BCL, SP2 LTSS, SP2 BCL und SP1 LTSS, für SUSE Linux Enterprise Server for SAP 12 SP3 und SP2 sowie für SUSE Linux Enterprise Software Development Kit 12 SP5 und SP4 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'git' bereit.
- Version 5 (2020-01-09 11:17)
- Für SUSE Linux Enterprise Module for Open Buildservice Development Tools, SUSE Linux Enterprise Module for Development Tools sowie SUSE Linux Enterprise Module for Basesystem 15 und 15 SP1 stehen Sicherheitsupdates zur Behebung der Schwachstellen in 'git' bereit.
- Version 6 (2020-01-17 12:03)
- Für Fedora 31 steht ein Update in Form des Pakets 'gitg-master-3120200116132900.1' bereit, wodurch die hiermit gebündelte 'libgit2' auf Version 0.28.4 (Sicherheitsupdate) und 'libpeas' auf Version 1.24.1 aktualisiert werden.
- Version 7 (2020-01-29 14:16)
- Für openSUSE Leap 15.1 steht ein Sicherheitsupdate zur Behebung der Schwachstellen in 'git' bereit. Außerdem werden zwei nicht sicherheitsrelevante Fehler behoben.
Betroffene Software
Entwicklung
Systemsoftware
Betroffene Plattformen
Netzwerk
Cloud
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Git und libgit2 ermöglichen einem entfernten, nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes und die Manipulation von Dateien. Weitere Schwachstellen ermöglichen einem entfernten, einfach authentisierten Angreifer das Ausführen beliebigen Programmcodes und das Umgehen von Sicherheitsvorkehrungen.
Der Hersteller veröffentlicht die Git Versionen 2.14.6 und 2.24.1, um die aufgeführten Schwachstellen zu beheben.
Für Ubuntu 16.04 LTS, 18.04 LTS, 19.04 und 19.10 sowie für Fedora 30 und 31 stehen Sicherheitsupdates bereit, um die Schwachstellen zu schließen. Die Pakete für Fedora 'git-2.21.1-1.fc30' und 'git-2.24.1-1.fc31' befinden sich im Status 'testing', das Paket 'libgit2-0.28.4-1.fc31' besitzt noch den Status 'pending'.
Debian veröffentlicht für die stabile Distribution Buster und die alte stabile Distribution Stretch Sicherheitsupdates für Git, die die Schwachstellen CVE-2019-1348, CVE-2019-1349, CVE-2019-1352, CVE-2019-1353, CVE-2019-1387 und CVE-2019-19604 adressieren.
Schwachstellen:
CVE-2019-1348
Schwachstelle in Git ermöglicht Manipulation von DateienCVE-2019-1349
Schwachstelle in Git ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-1350
Schwachstelle in Git ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-1351
Schwachstelle in Git ermöglicht Manipulation von DateienCVE-2019-1352
Schwachstelle in Git ermöglicht Manipulation von DateienCVE-2019-1353
Schwachstelle in Git ermöglicht Umgehen von SicherheitsvorkehrungenCVE-2019-1354
Schwachstelle in Git ermöglicht Manipulation von DateienCVE-2019-1387
Schwachstelle in Git ermöglicht Ausführen beliebigen ProgrammcodesCVE-2019-19604
Schwachstelle in Git ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.