2020-0767: Git: Eine Schwachstelle ermöglicht das Erlangen von Benutzerrechten

Historie:

Version 1 (2020-04-15 19:13)

Neues Advisory

Version 2 (2020-04-16 09:53)

Für Fedora 30 und 31 stehen Sicherheitsupdates in Form der Pakete 'git-2.21.2-1.fc30' und 'git-2.25.3-1.fc31' im Status 'testing' zur Behebung der Schwachstelle bereit.

Version 3 (2020-04-16 19:00)

Für openSUSE Leap 15.1 steht ein Sicherheitsupdate für 'git' bereit, um die Schwachstelle zu beheben.

Version 4 (2020-04-17 10:19)

Apple informiert über die Schwachstelle in Git und stellt Xcode 11.4.1 für macOS Catalina 10.15.2 und spätere Versionen zur Behebung derselben bereit.

Version 5 (2020-04-21 17:53)

Für Red Hat Enterprise Linux 7 (in den Produktvarianten Server, Workstation, Desktop und for Scientific Computing) stehen Sicherheitsupdates für 'git' zur Behebung der Schwachstelle bereit. Für Fedora 30 und 31 stehen neue Sicherheitsupdates in Form der Pakete 'git-2.21.3-1.fc30' und 'git-2.25.4-1.fc31' bereit, welche sich derzeit noch im Status 'pending' befinden. Dasjenige für Fedora 30 ersetzt das frühere Update FEDORA-2020-fc00fe1705 (Fedora 30, git-2.21.2-1.fc30), welches in den Status 'obsolete' versetzt wurde (Referenz hier entfernt), während sich das Update FEDORA-2020-cdef88bb89 (Fedora 31, git-2.25.3-1.fc31) im Status 'stable' befindet.

Version 6 (2020-04-22 10:32)

Für Red Hat Enterprise Linux 8 und Oracle Linux 8 stehen Sicherheitsupdates zur Behebung der Schwachstelle in 'git' bereit.

Version 7 (2020-04-22 14:25)

Für Oracle Linux 7 (x86_64) steht ein Sicherheitsupdate zur Behebung der Schwachstelle in 'git' bereit.

Version 8 (2020-04-27 10:56)

Die Sicherheitsmeldungen FEDORA-2020-f6b3b6fb18 und FEDORA-2020-4e093619bb wurden aktualisiert, um darauf hinzuweisen, dass die Sicherheitsupdates auch die Schwachstelle CVE-2020-11008 adressieren, die im Falle einer erfolgreichen Ausnutzung die gleichen Auswirkungen wie die hier referenzierte Schwachstelle haben kann.

Version 9 (2020-08-19 13:38)

Red Hat stellt Sicherheitsupdates für Red Hat Software Collections 1 zur Verfügung, um die Schwachstelle in 'rh-git218-git' zu beheben.

Betroffene Software

Entwicklung

Betroffene Plattformen

Netzwerk
Cloud
Apple
Linux
Oracle

Beschreibung:

Ein entfernter Angreifer kann sensitive Informationen ausspähen und dadurch Benutzerrechte erlangen, wenn er einen Benutzer von Git zum Aufruf einer speziell präparierten URL mit 'git clone' verleiten kann. Der Angriff erfordert keine Benutzerinteraktion, wenn solche URLs automatisch verarbeitet werden. Dies ist beispielsweise bei Verwendung von Git Submodules oder bei auf Git basierenden Paketierungssystemen gegeben.

Der Hersteller veröffentlicht Git 2.17.4, 2.18.3, 2.19.4, 2.20.3, 2.21.2, 2.22.3, 2.23.2, 2.24.2, 2.25.3 und 2.26.1 als Sicherheitsupdates zur Behebung der Schwachstelle.

Canonical stellt für Ubuntu 16.04 LTS, 18.04 LTS und 19.10 Sicherheitsupdates bereit.

Für Debian 8 Jessie (LTS), Debian 9 Stretch (oldstable) und Debian 10 Buster (stable) stehen ebenfalls Sicherheitsupdates zur Verfügung.

Für SUSE Enterprise Storage 5, SUSE Linux Enterprise High Performance Computing 15 ESPOS und 15 LTSS, SUSE Linux Enterprise Module for Basesystem, Development Tools und Open Buildservice Development Tools 15 SP1, SUSE Linux Enterprise Server 12 SP1 LTSS, SP2 BCL, SP2 LTSS, SP3 BCL, SP3 LTSS, SP4 und 12 SP5 sowie 15 LTSS, SUSE Linux Enterprise Server for SAP 12 SP1, SP2 und SP3 sowie 15, SUSE Linux Enterprise Software Development Kit 12 SP4 und SP5 sowie SUSE OpenStack Cloud 7, 8 und Crowbar 8 stehen weitere Sicherheitsupdates bereit.

Schwachstellen:

CVE-2020-5260

Schwachstelle in Git ermöglicht Erlangen von Benutzerrechten

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.