Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3542-1 mercurial

Säkerhetsbulletin från Debian

DSA-3542-1 mercurial -- säkerhetsuppdatering

Rapporterat den:

2016-04-05

Berörda paket:

mercurial

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 819504.
I Mitres CVE-förteckning: CVE-2016-3068, CVE-2016-3069, CVE-2016-3630.

Ytterligare information:

Flera sårbarheter har upptäckts i Mercurial, ett distribuerat versionshanteringssystemm. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2016-3068

  Blake Burkhart upptäckte att Mercurial tillåter URLer för Git-underförråd vilket kunde resultera i körning av godtycklig kod på en klon.

• CVE-2016-3069

  Blake Burkhart upptäckte att Mercurial tillåter körning av godtycklig kod vid konvertering av Git-förråd med speciellt skapade namn.

• CVE-2016-3630

  Man har upptäckt att Mercurial inte utför gränskontroller ordentligt i sin binära deltadekoder, vilket kan exploateras för körning av fjärrkod via clone, push eller pull.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 2.2.2-4+deb7u2.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 3.1.2-2+deb8u2.

För den instabila utgåvan (Sid) har dessa problem rättats i version 3.7.3-1.

Vi rekommenderar att ni uppgraderar era mercurial-paket.