Informations de sécurité / 2016 / Informations sur la sécurité -- DSA-3542-1 mercurial

Bulletin d'alerte Debian

DSA-3542-1 mercurial -- Mise à jour de sécurité

Date du rapport :

5 avril 2016

Paquets concernés :

mercurial

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 819504.
Dans le dictionnaire CVE du Mitre : CVE-2016-3068, CVE-2016-3069, CVE-2016-3630.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Mercurial, un système de gestion de versions décentralisé. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2016-3068

  Blake Burkhart a découvert que Mercurial autorise des URL pour les sous-dépôts de Git ce qui pourrait avoir pour conséquence l'exécution de code arbitraire sur le clone.

• CVE-2016-3069

  Blake Burkhart a découvert que Mercurial permet l'exécution de code arbitraire lors de la conversion de dépôts Git avec des noms contrefaits pour l'occasion.

• CVE-2016-3630

  Mercurial ne réalise pas correctement la vérification des limites dans son décodeur binaire delta, ce qui peut être exploité pour l'exécution de code à distance à travers les commandes clone, push ou pull.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 2.2.2-4+deb7u2.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 3.1.2-2+deb8u2.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 3.7.3-1.

Nous vous recommandons de mettre à jour vos paquets mercurial.