Bulletin d'alerte Debian
DSA-3963-1 mercurial -- Mise à jour de sécurité
- Date du rapport :
- 4 septembre 2017
- Paquets concernés :
- mercurial
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 861243, Bogue 871709, Bogue 871710.
Dans le dictionnaire CVE du Mitre : CVE-2017-9462, CVE-2017-1000115, CVE-2017-1000116. - Plus de précisions :
-
Plusieurs problèmes ont été découverts dans Mercurial, un système de gestion de versions décentralisé.
- CVE-2017-9462
(corrigé seulement dans Stretch)
Jonathan Claudius de Mozilla a découvert que les dépôts servis par stdio pourraient être piégés pour accorder à des utilisateurs autorisés l'accès au débogueur de Python.
- CVE-2017-1000115
L'audit des liens symboliques de Mercurial était incomplet, et pourrait être détourné pour écrire des fichiers en dehors du dépôt.
- CVE-2017-1000116
Joern Schneeweisz a découvert que Mercurial ne gérait pas correctement les URL ssh:// construites de façon malveillante. Cela permettait à un attaquant d'exécuter une commande d'interpréteur arbitraire.
Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 3.1.2-2+deb8u4.
Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 4.0-1+deb9u1.
Nous vous recommandons de mettre à jour vos paquets mercurial.
- CVE-2017-9462
(corrigé seulement dans Stretch)