阿里云
发表主题 回复主题
  • 3652阅读
  • 4回复

[安全漏洞公告专区]程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞

级别: 论坛版主
发帖
153
云币
293
e`5:46k|  
近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞 x26 sH5  
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。 3@<m/%  
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:                                                                                    qzk]9`i1:  
    
漏洞编号: !=+;9Ry$z  
Git: CVE-2017-1000117 6O@Lx ]t  
Apache Subversion: CVE-2017-9800 w}29#F\]R  
Mercurial: CVE-2017-1000116 p%OVl[^jp  
漏洞名称: zD s V"D8  
Git、Apache Subversion(SVN)、Mercurial版本控制系统被爆远程命令执行漏洞 A~L Ti  
官方评级: TdoH(( nY  
高危 #O'g*]j  
漏洞描述: 0bGQO&s [  
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限 qtP*O#1q  
漏洞利用条件和方式: !Z;Nv  
远程钓鱼利用 >waA\C}  
漏洞影响范围: ?X7nM)  
Git: UG<<.1JL  
  • v2.7.6
  • v2.8.6
  • v2.9.5
  • v2.10.4
  • v2.11.3
  • v2.12.4
  • v2.13.5
J!'IkC$>  
Apache Subversion: MOIVt) ZY  
  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
  • Apache Subversion client 1.10.0-alpha3
TQ5kT?/{  
Mercurial:  mNX0BZ  
  • 小于4.3版本
vE~<R  
漏洞检测: U.|0y=  
检查是否使用受影响范围内的版本 `oE.$~'  
漏洞修复建议(或缓解措施): Xd&oERJj  
  • Git:升级到Git v2.14.1版本
  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
R7x*/?  
情报来源: #;'*W$Wk2  
TG.\C8;vFh  
Btc[  
1mx;b)4t  
6 %T_;"hb  
o6r ^  
oMN Qv%U  
 V#+J4   
SN#N$] y5s  
1qwJPM  
) KYU[  
J {\]ZPs  
:NWrbfz  
* @&V=l  
d,t'e?  
&|Vzo@D(!  
$tebNi P  
Ak2Vf0Eb  
!]!9 $6n  
hQDl&A  
AT I2  
et6@);F  
4n.EA,:g:(  
X!]p8Q y  
*&W1|Qkg_  
d^XRkB:h  
cX48?srG  
T- lHlm  
R6G%_,p$7  
4)d#dy::\  
|B@\Nf7  
.BZ3>]F3<  
:FI 4GR*?  
mRY~)< !4&  
.cg"M0  
 Z_?r5M;  
[ 此帖被正禾在2017-08-14 09:57重新编辑 ]
级别: 论坛版主
发帖
9135
云币
12991
只看该作者 沙发  发表于: 08-11
回 楼主(正禾) 的帖子
漏洞影响范围:   E8]PV,#xY  
GitLab: y?BzZ16\bL  
v2.7.6 `V N $ S  
" bHeNWZ  
是 Git 不是 Gitlab
[ 此帖被妙正灰在2017-08-11 22:48重新编辑 ]
级别: 论坛版主
发帖
153
云币
293
只看该作者 板凳  发表于: 前天 09:59
回 1楼(妙正灰) 的帖子
cool,编辑疏忽了,Thank you for reminding me!
级别: 论坛版主
发帖
9135
云币
12991
只看该作者 地板  发表于: 前天 11:19
回 2楼(正禾) 的帖子
客气客气,日常看你的漏洞日报
级别: 论坛版主
发帖
153
云币
293
只看该作者 4楼 发表于: 前天 11:57
回 3楼(妙正灰) 的帖子
求扩散,哈哈
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个