Bundesamt für Sicherheit in der Informationstechnik

CB-K17/1350

Risikostufe 3

Titel:Apache Software Foundation Subversion: Eine Schwachstelle ermöglicht die Ausführung beliebiger KommandozeilenbefehleDatum:11.08.2017Software:Apache Software Foundation Subversion < 1.8.19, Apache Software Foundation Subversion < 1.9.7Plattform:Canonical Ubuntu Linux 14.04 LTS, Canonical Ubuntu Linux 16.04 LTS, Canonical Ubuntu Linux 17.04, Debian Linux 8.9 Jessie, Debian Linux 9.1 Stretch, GNU/LinuxAuswirkung:Ausführen beliebigen ProgrammcodesRemoteangriff:JaRisiko:mittelCVE Liste:CVE-2016-2167, CVE-2016-8734, CVE-2017-9800Bezug: Apache Subversion Security Advisory: Arbitrary code execution on clients through malicious svn+ssh URLs in svn:externals and svn:sync-from-url (CVE-2017-9800)

Beschreibung

Apache Subversion (SVN) von der Apache Software Foundation ist eine freie Software zur Versionsverwaltung von Dateien und Verzeichnissen.

Ein entfernter, nicht authentisierter Angreifer kann mit Hilfe speziell präparierter URLs einen Subversion-Client zur Ausführung beliebiger Shell-Befehle bringen. Solche URLs können von bösartigen Servern, von Benutzern zum Angriff auf andere Benutzer (über Commits an gutartige Server) oder über Proxy-Server eingeschleust werden. Der Hersteller informiert über die Schwachstelle (CVE-2017-9800) in Subversion Clients 1.0.0 bis 1.8.18, 1.9.0 bis 1.9.6 und 1.10.0-alpha3 und stellt die Versionen 1.8.19 und 1.9.7 als Sicherheitsupdates zur Verfügung. Für die Versionszweige 1.6, 1.8 und 1.9 stehen Patches zur Verfügung. Canonical stellt für Ubuntu Linux 14.04 LTS, 16.04 LTS und 17.04 Backport-Sicherheitsupdates bereit. Für Ubuntu 14.04 LTS und 16.04 LTS werden mit diesen Updates zusätzlich die Schwachstellen CVE-2016-2167 (Umgehen von Zugangsbeschränkungen) und CVE-2016-8734 (Denial-of-Service) behoben. Für Debian Jessie (oldstable) und Stretch (stable) stehen ebenfalls Backport-Sicherheitsupdates zur Verfügung. Debian Jessie wird dadurch zusätzlich gegen die Ausnutzung der Schwcahstelle CVE-2016-8734 abgesichert. Die Schwachstelle besteht auch in anderen Versionskontrollsystemen, dafür stehen gesonderte Sicherheitsupdates zur Verfügung. Bisher wurden die Schwachstellenbezeichner CVE-2017-12426 (GitLab), CVE-2017-1000116 (Mercurial (hg)) und CVE-2017-1000117 (Git) vergeben. CVS scheint auch betroffen, Informationen dazu stehen aber noch aus.