Sicherheits-Fix für ersten Service Release von Eclipse Luna
Erstmals schiebt die Eclipse Foundation ein Sicherheits-Update für ein Service Release der alljährlich erscheinenden großen Eclipse-IDE nach. Auslöser war eine vor Weihnachten behobene Sicherheitslücke in Git.
- Alexander Neumann
Für gewöhnlich sind zwei Service Releases einer großen Eclipse-Version zu erwarten. Sie erscheinen immer eingangs des Herbstes und zum Ende des Winters. Mit Eclipse Luna SR1a ist nun erstmals ein Sicherheits-Release für eines der beiden jährlichen Wartungsreleases erschienen. Das Update bezieht sich auf die Eclipse IDE for Eclipse Committers.
Die Aktualisierung war erforderlich geworden, da nicht nur Git selbst, sondern auch Implementierungen wie das in Eclipse enthaltene JGit von einer Sicherheitslücke betroffen war, die mit Version 2.2.1 von Git kurz vor Weihnachten behoben worden war. Mit der Sicherheitslücke (CVE-2014-9390) können Angreifer eine Repository-spezifische Konfiguration überschreiben oder Git-Repositories erstellen, die bereits beim Klonen Skripte ausführen. (ane)
