Bulletin d'alerte Debian

DLA-1331-1 mercurial -- Mise à jour de sécurité pour LTS

Date du rapport :
30 mars 2018
Paquets concernés :
mercurial
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 892964.
Dans le dictionnaire CVE du Mitre : CVE-2018-1000132.
Plus de précisions :

Mercurial, versions 4.5 et précédentes, contient une vulnérabilité de contrôle d’accès incorrect (CWE-285) dans le serveur de protocole qui peut aboutir à un accès non autorisé de données. Cette attaque semble exploitable à l’aide d’une connexion réseau. Cette vulnérabilité semble avoir été corrigée dans la version 4.5.1.

Cette mise à jour corrige aussi une régression introduite dans la version 2.2.2-4+deb7u5 qui fait que la suite de tests échoue de manière non déterministe.

Pour Debian 7 Wheezy, ces problèmes ont été corrigés dans la version 2.2.2-4+deb7u7.

Nous vous recommandons de mettre à jour vos paquets mercurial.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.