Debians sikkerhedsbulletin

DSA-3963-1 mercurial -- sikkerhedsopdatering

Rapporteret den:
4. sep 2017
Berørte pakker:
mercurial
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 861243, Fejl 871709, Fejl 871710.
I Mitres CVE-ordbog: CVE-2017-9462, CVE-2017-1000115, CVE-2017-1000116.
Yderligere oplysninger:

Flere problemer blev opdaget i Mercurial, et distribueret versionsstyringssystem.

  • CVE-2017-9462 (kun rettet i stretch)

    Jonathan Claudius fra Mozilla opdagede at arkiver som blev serveret over stdio, kunne blive narret til at give autoriserede brugere adgang til at Python-debuggeren.

  • CVE-2017-1000115

    Mercurials symlinkauditing var ufuldstændig, og kunne misbruges til at skrive filer uden for arkiver.

  • CVE-2017-1000116

    Joern Schneeweisz opdagede at Mercurial ikke på korrekt vis håndterede ondsindet fremstillede ssh://-URL'ers. Dermed kunne en angriber køre en vilkårlig shellkomamndo.

I den gamle stabile distribution (jessie), er disse problemer rettet i version 3.1.2-2+deb8u4.

I den stabile distribution (stretch), er disse problemer rettet i version 4.0-1+deb9u1.

Vi anbefaler at du opgraderer dine mercurial-pakker.