当前位置:安全资讯 >> 全文

因严重安全漏洞问题,Git、SVN和Mercurial开源版本控制系统已更新

发布时间:2017-8-11 13:54
分享到 0

全球各地的开发人员要注意了,现在必须更新你的版本控制系统,否则可能面临已知缺陷遭利用带来的风险。

 三种主要的开源版本控制系统GitSubversion (SVN) Mercurial均发布更新,修复一个可能导致攻击者执行任意代码的严重漏洞。这些漏洞是由来自GitLabBrian Neel、来自Recurity LabsJoern Schneeweisz和来自GitHubJeff King发现并报告的。

GitLinux内核的版本控制系统,其产品GitHubGitlab为修复这个新漏洞发布了多个补丁,包括Git v2.14.1v2.7.6v2.8.6v2.9.5v2.10.4v2.11.3v2.12.4以及v2.13.5

Git维护人员Junio Hamano在一封邮件列表信息中写到,“这些补丁中包括为CVE-2017-1000117准备的修复方案,由于跟SVNMercurial存在的问题类似,因此协同发布。CVE-2017-9800CVE-2017-1000116分别被分配给这些系统,解决它们之间的类似问题。”

不过上述提到的安全缺陷需要有一些社交技巧才能被利用。

Git发布公告指出,“恶意第三方能为毫不知觉的受害者编造‘ssh://…’URL,而试图访问这个URL会导致受害者机器上的程序被执行。”

Apache SVN 1.9.7更新修复了跟功能上类似于Git中所修复问题的CVE-2017-9800SVN更新中修复的安全问题是“通过在svn:externalssvn:sync-from-url中恶意svn+ssh URL在客户端上的任意代码执行问题。”

Mercurial开源版本控制项目更新的目的是4.34.2.3更新中出现的问题CVE-2017-1000115Mercurial安全公告告警称,“Mercurial并未清洁传给ssh的主机名,这样就可通过指定以-oProxyCommand开头的主机名发动shell注入攻击”。

本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。
原文链接:http://www.esecurityplanet.com/threats/git-svn-and-mercurial-open-source-version-control-systems-update-for-critical-security-vulnerability.html
参与讨论,请先 登录 | 注册

用户评论