2025-1815: Git: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2025-07-09 15:10)
- Neues Advisory
- Version 2 (2025-07-10 07:58)
- Bei der Behebung der Schwachstellen durch USN-7626-1 wurde eine Regression in 'gitk' und 'git-gui' eingeführt. Canonical stellt deshalb ein Update bereit, mit dem die betreffenden Fixes für die Schwachstellen CVE-2025-27613 und CVE-2025-46835 zurückgenommen werden, bis weitere Untersuchungen erfolgt sind.
- Version 3 (2025-07-11 11:16)
- Für Fedora 41 und 42 stehen 'git-2.50.1-1'-Pakete im Status 'testing' bzw. 'stable' bereit, um die Schwachstellen zu beheben.
- Version 4 (2025-07-11 13:29)
- Canonical stellt für Ubuntu 16.04 LTS, Ubuntu 18.04 LTS, Ubuntu 20.04 LTS und Ubuntu 22.04 LTS aktualisierte Sicherheitsupdates für 'git' bereit, um die Regression durch die vorhergehenden Fixes für die Schwachstellen CVE-2025-27613 und CVE-2025-46835 zu beheben.
- Version 5 (2025-08-26 16:36)
- Die CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY (CISA) hat die Schwachstelle CVE-2025-48384 in ihren 'Known Exploited Vulnerabilities Catalog' aufgenommen.
- Version 6 (2025-08-29 13:03)
- Für Basesystem Module 15 SP6 und 15 SP7, Development Tools Module 15 SP6 und 15 SP7, openSUSE Leap 15.6 und Python 3 Module 15 SP6 und 15 SP7 sowie für die SUSE Linux Enterprise Produkte Desktop 15 SP6 und 15 SP7, Real Time 15 SP6 und 15 SP7, Server 15 SP6 und 15 SP7 und Server for SAP Applications 15 SP6 und 15 SP7 stehen Sicherheitsupdates für 'git', 'git-lfs', 'obs-scm-bridge' und 'python-PyYAML' bereit, um fünf Schwachstellen zu beheben. git wird damit von Version 2.43.0 auf Version 2.51.0 aktualisiert und die Schwachstellen CVE-2025-46334 und CVE-2025-48386 werden nicht referenziert.
Betroffene Software
Entwicklung
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Ein Angreifer kann mehrere Schwachstellen aus der Ferne ausnutzen, um Dateien zu manipulieren, Informationen auszuspähen und beliebigen Programmcode auszuführen.
Für die Ausnutzung der Schwachstellen sind unterschiedliche Privilegien erforderlich. Mehrere Schwachstellen erfordern die Interaktion eines Benutzers. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.
Die Schwachstellen werden mit Git 2.50.1 sowie 2.49.1, 2.48.2, 2.47.3, 2.46.4, 2.45.4, 2.44.4 und 2.43.7 behoben. Die Schwachstelle CVE-2025-46334 betrifft nur Git auf Windows-Systemen.
Canonical stellt für Ubuntu 25.04, Ubuntu 24.10, Ubuntu 24.04 LTS, Ubuntu 22.04 LTS, Ubuntu 20.04 ESM, Ubuntu 18.04 ESM und Ubuntu 16.04 ESM Sicherheitsupdates für 'git' bereit, um die Schwachstellen zu beheben.
Schwachstellen:
CVE-2025-27613
Schwachstelle in Git ermöglicht u. a. Manipulation von DateienCVE-2025-27614
Schwachstelle in Git ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-46334
Schwachstelle in Git ermöglicht Ausspähen von InformationenCVE-2025-46835
Schwachstelle in Git ermöglicht u. a. Manipulation von DateienCVE-2025-48384
Schwachstelle in Git ermöglicht Ausführen beliebigen ProgrammcodesCVE-2025-48385
Schwachstelle in Git ermöglicht u. a. Manipulation von DateienCVE-2025-48386
Schwachstelle in Git ermöglicht Ausspähen von Informationen
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.