Sikkerhedsoplysninger / 2016 / Sikkerhedsoplysninger -- DSA-3542-1 mercurial

Debians sikkerhedsbulletin

DSA-3542-1 mercurial -- sikkerhedsopdatering

Rapporteret den:

5. apr 2016

Berørte pakker:

mercurial

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 819504.
I Mitres CVE-ordbog: CVE-2016-3068, CVE-2016-3069, CVE-2016-3630.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Mercurial, et distributeret versionsstyringssystem. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

• CVE-2016-3068

  Blake Burkhart opdagede at Mercurial tillod URL'er til Git-subrepositories, der kunne medføre udførelse af vilkårlig kode på klonen.

• CVE-2016-3069

  Blake Burkhart opdagede at Mercurial tillod udførelse af vilkårlig kode ved konvertering af Git-repositories med særligt fremstillede navne.

• CVE-2016-3630

  Man opdagede at Mercurial ikke på korrekt vis håndterer grænsekontroller i sin binære deltadekoder, hvilket kunne være udnytbart til fjernudførelse af kode via clone, push eller pull.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 2.2.2-4+deb7u2.

I den stabile distribution (jessie), er disse problemer rettet i version 3.1.2-2+deb8u2.

I den ustabile distribution (sid), er disse problemer rettet i version 3.7.3-1.

Vi anbefaler at du opgraderer dine mercurial-pakker.