Säkerhetsbulletin från Debian

DSA-3963-1 mercurial -- säkerhetsuppdatering

Rapporterat den:
2017-09-04
Berörda paket:
mercurial
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 861243, Fel 871709, Fel 871710.
I Mitres CVE-förteckning: CVE-2017-9462, CVE-2017-1000115, CVE-2017-1000116.
Ytterligare information:

Flera problem har upptäckts i Mercurial, ett distribuerat versionshanteringssystem.

  • CVE-2017-9462 (endast rättat i stretch)

    Jonathan Claudius från Mozilla upptäckte att förråd som presenteras över stdio kunde luras till att ge auktoriserade användare åtkomst till Pythondebuggern.

  • CVE-2017-1000115

    Mercurials granskning av symboliska länkar var ofullständig, och kunde missbrukas till att skriva filer utanför förrådet.

  • CVE-2017-1000116

    Joern Schneeweisz upptäckte att Mercurial inte hanterar illasinnat konstruerade ssh://-urler ordentligt. Detta tillåter en angripare att köra godtyckliga skalkommandon.

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 3.1.2-2+deb8u4.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 4.0-1+deb9u1.

Vi rekommenderar att ni uppgraderar era mercurial-paket.