Bulletin d'alerte Debian

DLA-237-1 mercurial -- Mise à jour de sécurité pour LTS

Date du rapport :
4 juin 2015
Paquets concernés :
mercurial
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-9390, CVE-2014-9462.
Plus de précisions :
  • CVE-2014-9462

    Jesse Hertz de Matasano Security a découvert que Mercurial, un système de gestion de versions décentralisé, est prédisposé à une vulnérabilité d'injection de commande à l'aide d'un nom de dépôt contrefait dans une commande clone.

  • CVE-2014-9390

    Il existe une vulnérabilité de sécurité qui affecte les dépôts de Mercurial dans un système de fichiers insensible à la casse (par exemple VFAT ou HFS+). Elle permet l'exécution de code à distance d'un dépôt contrefait pour l'occasion. Cette vulnérabilité est moins sévère pour une installation normale de Debian qui est habituellement configurée avec des systèmes de fichiers sensibles à la casse.