Kurzinfo CB-K17/1352

3 Risiko: mittel
Information zu Schwachstellen und Sicherheitslücken
Titel: Git: Eine Schwachstelle ermöglicht die Ausführung beliebiger Befehle
Datum: 11.08.2017
Software: Git < 2.7.6, Git < 2.8.6, Git < 2.9.5, Git < 2.10.4, Git < 2.11.3, Git < 2.12.4, Git < 2.13.5, Git < 2.14.1
Plattform: Apple Mac OS X, macOS Sierra, Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 17.04, Debian Linux 8.9 Jessie, Debian Linux 9.1 Stretch, GNU/Linux, Microsoft Windows , Oracle Solaris, Red Hat Fedora 25, Red Hat Fedora 26
Auswirkung: Ausführen beliebigen Programmcodes
Remoteangriff: Ja
Risiko: mittel
CVE Liste: CVE-2017-1000117
Bezug: Debian Security Advisory DSA-3934-1
Revisions Historie
  • Version: 1

    Neues Advisory

Beschreibung

Das freie Versionsverwaltungsprogramm Git wurde ursprünglich für die Verwaltung der Dateien in der Linux Kernel-Entwicklung von Linus Torvalds entwickelt. Es ist unter der GPLv2 veröffentlicht worden und wird inzwischen für eine Vielzahl von Softwareprojekten verwendet.

Ein entfernter, nicht authentisierter Angreifer kann die Schwachstelle über eine präparierte 'ssh://'-URL ausnutzen und so einen Git-Benutzer über unterschiedliche Vektoren angreifen. Hierfür kann er beispielsweise einen bösartig präparierten Git-Server verwenden, der eine zur Ausnutzung der Schwachstelle präparierte URL generiert, zudem kann er über einen bösartigen Commit Benutzer eines Repositories angreifen und möglicherweise einen Proxy-Server für einen Angriff verwenden. Eine erfolgreiche Ausnutzung ermöglicht dem Angreifer beliebige Shell-Befehle auf dem System des betroffenen Benutzers zur Ausführung zu bringen, wenn er den Benutzer zusätzlich verleiten kann diese URL aufzurufen. Beispielsweise kann die URL in die Datei '.gitmodules' eines entfernten Repositories eingebracht und über den unverdächtigen Befehl 'git clone --recurse-submodules' aufgerufen werden. Der Hersteller stellt die Versionen 2.7.6, 2.8.6, 2.9.5, 2.10.4, 2.11.3, 2.12.4, 2.13.5 und 2.14.1 als Sicherheitsupdates bereit. Debian stellt für die Distributionen Jessie (oldstable) und Stretch (stable) Backport-Sicherheitsupdates bereit. Canonical veröffentlicht für die Distributionen Ubuntu 17.04, Ubuntu 16.04 LTS und Ubuntu 14.04 LTS Backport-Sicherheitsupdates. Für Fedora 25 steht die Version 2.9.5 und für Fedora 26 die Version 2.13.5 als Sicherheitsupdates im Status 'pending' bereit.

  1. Debian Security Advisory DSA-3934-1

  2. Fedora Security Update FEDORA-2017-8ba7572cfd (Fedora 25, git-2.9.5-1)

  3. Fedora Security Update FEDORA-2017-b1b3ae6666 (Fedora 26, git-2.13.5-1)

  4. Git v2.7.6, v2.8.6, v2.9.5, v2.10.4, v2.11.3, v2.12.4, v2.13.5.v, 2.14.1 Release Announcement

  5. Ubuntu Security Notice USN-3387-1

  6. Schwachstelle CVE-2017-1000117 (NVD)

CERT-Bund bietet personalisierte Warn- und Informationsdienste an.
Bitte registrieren Sie sich, um diese Angebote nutzen zu können.