Bulletin d'alerte Debian

DSA-3963-1 mercurial -- Mise à jour de sécurité

Date du rapport :
4 septembre 2017
Paquets concernés :
mercurial
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 861243, Bogue 871709, Bogue 871710.
Dans le dictionnaire CVE du Mitre : CVE-2017-9462, CVE-2017-1000115, CVE-2017-1000116.
Plus de précisions :

Plusieurs problèmes ont été découverts dans Mercurial, un système de gestion de versions décentralisé.

  • CVE-2017-9462 (corrigé seulement dans Stretch)

    Jonathan Claudius de Mozilla a découvert que les dépôts servis par stdio pourraient être piégés pour accorder à des utilisateurs autorisés l'accès au débogueur de Python.

  • CVE-2017-1000115

    L'audit des liens symboliques de Mercurial était incomplet, et pourrait être détourné pour écrire des fichiers en dehors du dépôt.

  • CVE-2017-1000116

    Joern Schneeweisz a découvert que Mercurial ne gérait pas correctement les URL ssh:// construites de façon malveillante. Cela permettait à un attaquant d'exécuter une commande d'interpréteur arbitraire.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 3.1.2-2+deb8u4.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.0-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets mercurial.