Bulletin d'alerte Debian

DLA-1072-1 mercurial -- Mise à jour de sécurité pour LTS

Date du rapport :
31 août 2017
Paquets concernés :
mercurial
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 871709, Bogue 871710.
Dans le dictionnaire CVE du Mitre : CVE-2017-1000115, CVE-2017-1000116.
Plus de précisions :

Deux vulnérabilités importantes ont été trouvées dans le système de gestion de versions Mercurial, qui pourraient conduire à un attaque par injection d’interpréteur et un écrasement de fichiers hors arbre.

  • CVE-2017-1000115

    L’évaluation de lien symbolique de Mercurial était incomplète avant 4.3, et pourrait être dupée pour écrire des fichiers en dehors du dépôt.

  • CVE-2017-1000116

    Mercurial ne nettoyait pas les noms d’hôte passés à ssh, permettant une attaque par injection d’interpréteur sur des clients en précisant un nom d’hôte débutant par -oProxyCommand. Cette vulnérabilité est similaire à celles dans Git (CVE-2017-1000117) et Subversion (CVE-2017-9800).

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.2.2-4+deb7u5.

Nous vous recommandons de mettre à jour vos paquets mercurial.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.