Bulletin d'alerte Debian

DLA-1414-1 mercurial -- Mise à jour de sécurité pour LTS

Date du rapport :
5 juillet 2018
Paquets concernés :
mercurial
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 861243, Bogue 892964, Bogue 901050.
Dans le dictionnaire CVE du Mitre : CVE-2017-9462, CVE-2017-17458, CVE-2018-1000132.
Plus de précisions :

Quelques vulnérabilités de sécurité ont été trouvées dans Mercurial qui permettent à des utilisateurs authentifiés de déclencher l’exécution de code arbitraire et l’accès à des données non autorisé dans certaine configuration de serveur. Des correctifs et des dépôts malformés peuvent conduire à des plantages et à l’exécution de code arbitraire dans les clients.

  • CVE-2017-9462

    Dans Mercurial avant 4.1.3, « hg serve --stdio » permet à les utilisateurs authentifiés distants de lancer le débogueur de Python, et par conséquent, exécuter du code arbitraire, en utilisant --debugger comme nom de dépôt.

  • CVE-2017-17458

    Dans Mercurial avant 4.4.1, il est possible qu’un répertoire malformé pour l’occasion peut causer que des sous-dépôts exécutent du code arbitraire sous forme de script .git/hooks/post-update vérifié dans le dépôt. L’utilisation typique de Mercurial empêche la construction de tels dépôts, mais ils peuvent être créés par programmation.

  • CVE-2018-1000132

    Mercurial, version 4.5 et précédentes, contient une vulnérabilité de contrôle d’accès incorrect (CWE-285) dans le serveur de protocole, qui pourrait aboutir à un accès à des données non autorisé. Cette attaque semble être exploitable à l’aide d’une connectivité réseau. Cette vulnérabilité semble avoir été corrigée dans la version 4.5.1.

  • OVE-20180430-0001

    mpatch : prudence lors de l’analyse de données binaires modifiées

  • OVE-20180430-0002

    mpatch : protection contre une sous-alimentation dans mpatch_apply

  • OVE-20180430-0004

    mpatch : assurance qu’un élément start n’est pas après la fin d’orig

Pour Debian 8 Jessie, ces problèmes ont été corrigés dans la version 3.1.2-2+deb8u5.

Nous vous recommandons de mettre à jour vos paquets mercurial.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.