Информация по безопасности / 2016 / Информация о безопасности -- DSA-3542-1 mercurial

Рекомендация Debian по безопасности

DSA-3542-1 mercurial -- обновление безопасности

Дата сообщения:

05.04.2016

Затронутые пакеты:

mercurial

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 819504.
В каталоге Mitre CVE: CVE-2016-3068, CVE-2016-3069, CVE-2016-3630.

Более подробная информация:

В Mercurial, распределённой системе управления версиями, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2016-3068

  Блэйк Бурхарт обнаружил, что Mercurial разрешает использовать для подрепозиториев Git такие URL, которые могут приводить к выполнению произвольного кода при выполнении операции clone.

• CVE-2016-3069

  Блэйк Бурхарт обнаружил, что Mercurial позволяет выполнять произвольный код при конвертации Git-репозиториев со специально сформированными именами.

• CVE-2016-3630

  Было обнаружено, что Mercurial неправильно выполняет проверки границ буферов в коде декодирования двоичных разниц, что может использоваться для удалённого выполнения кода во время операция clone, push или pull.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 2.2.2-4+deb7u2.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 3.1.2-2+deb8u2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 3.7.3-1.

Рекомендуется обновить пакеты mercurial.