Security Alert für (fast) alle Versionskontrollsysteme
Eine Reihe der beliebtesten Versionskontrollsysteme (Git, Mercurial und Apache Subversion/SVN) sind angreifbar, wenn man es schafft, dem Anwender einen speziellen Hostnamen für den SSH-Befehl unterzuschieben. Da führt dazu, daß der Client des Versionskontrollsystems die URL als Options-Flag interpretiert und in der URL enthaltene Befehle ohne Prüfung ausführt.
Ähnlich wie das Git-Team (CVE-2017-1000117) haben auch die Entwickler von SVN (CVE-2017-9800) und Mercurial (CVE-2017-1000116) das Problem bereits beseitigt. Nutzer sollten Updates für diese Tools deshalb umgehend installieren. Das Uralt-Versionskontrollsystem CVS soll ebenfalls betroffen sein. Da dies aber seit bereits über zehn Jahren nicht mehr aktualisiert wird, ist hier wohl mit keinem Sicherheitsupdate zu rechnen. (heise Security)
Über …
Der Schockwellenreiter ist seit dem 24. April 2000 das Weblog digitale Kritzelheft von Jörg Kantel (Neuköllner, EDV-Leiter, Autor, Netzaktivist und Hundesportler — Reihenfolge rein zufällig). Hier steht, was mir gefällt. Wem es nicht gefällt, der braucht ja nicht mitzulesen. Wer aber mitliest, ist herzlich willkommen und eingeladen, mitzudiskutieren!
Alle eigenen Inhalte des Schockwellenreiters stehen unter einer Creative-Commons-Lizenz, jedoch können fremde Inhalte (speziell Videos, Photos und sonstige Bilder) unter einer anderen Lizenz stehen.
Der Besuch dieser Webseite wird aktuell von der Piwik Webanalyse erfaßt. Hier können Sie der Erfassung widersprechen.
Diese Seite verwendet keine Cookies. Warum auch? Was allerdings die iframes von Amazon, YouTube und Co. machen, entzieht sich meiner Kenntnis.
Werbung
Werbung
