阿里云
服务器地域选择
发表主题 回复主题
  • 4390阅读
  • 4回复

[安全漏洞公告专区]程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞

级别: 论坛版主
发帖
183
云币
339
s9)U",  
近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞 9z$fDs}.q  
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。 s1GR!*z>  
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:                                                                                    !w;oVPNg  
    
漏洞编号: rd:WF(]  
Git: CVE-2017-1000117 F!_8?=|  
Apache Subversion: CVE-2017-9800 EQTJ=\WFF  
Mercurial: CVE-2017-1000116 /L yoTBG  
漏洞名称: :2zga=)g  
Git、Apache Subversion(SVN)、Mercurial版本控制系统被爆远程命令执行漏洞 Pb`Uxv  
官方评级: [Xyu_I-c  
高危 VchI0KL?  
漏洞描述: ki6L t  
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限 !y\r.fm!A  
漏洞利用条件和方式: #=g1V?D  
远程钓鱼利用 0Fw4}f.o  
漏洞影响范围: ;0vCZaEF  
Git: v8} vk]b  
  • v2.7.6
  • v2.8.6
  • v2.9.5
  • v2.10.4
  • v2.11.3
  • v2.12.4
  • v2.13.5
7M/v[dwL  
Apache Subversion: ?:$\ t?e^  
  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
  • Apache Subversion client 1.10.0-alpha3
) UCc!  
Mercurial: dM=45$\q  
  • 小于4.3版本
&"r /&7:  
漏洞检测: )! eJW(  
检查是否使用受影响范围内的版本 4`GOBX1b.y  
漏洞修复建议(或缓解措施): IE|? &O  
  • Git:升级到Git v2.14.1版本
  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
Xwo%DZKN  
情报来源: re~T,PPM  
@PT([1C  
L</k+a?H!  
^B)f!HtU  
"g,`Ks ];  
3;RQ\{eM  
IIG9&F$G  
;_=N YG.  
jsFfrS"*  
N[r Ab*iT  
JC MUK<CG  
"<"m}rE?Q  
q{ [!" ,  
q6,z 1A"  
H$+@O-  
 l*?_@  
0|Xz-Y  
_U_O0@xi  
B[I9<4}  
mqj-/DN6*  
p$t|eu  
<5? pa3  
n y cn  
RA!q)/ +  
* bd3^mP  
P)kJ[Zv>f  
R_O=WmD  
q)mG6Su d  
-V4%f{9T3  
xeL"FzF:V  
J#48c'  
p#CjkL  
D<m0G]Ht*  
mU]VFPr5  
qi B~  
)S 7+y6f&*  
[ 此帖被正禾在2017-08-14 09:57重新编辑 ]
级别: 论坛版主
发帖
9211
云币
13341
只看该作者 沙发  发表于: 08-11
回 楼主(正禾) 的帖子
漏洞影响范围:   Bl1I "B  
GitLab: J+4uUf/d!  
v2.7.6 Umd!j,  
E:tUbWVp  
是 Git 不是 Gitlab
[ 此帖被妙正灰在2017-08-11 22:48重新编辑 ]
级别: 论坛版主
发帖
183
云币
339
只看该作者 板凳  发表于: 08-14
回 1楼(妙正灰) 的帖子
cool,编辑疏忽了,Thank you for reminding me!
级别: 论坛版主
发帖
9211
云币
13341
只看该作者 地板  发表于: 08-14
回 2楼(正禾) 的帖子
客气客气,日常看你的漏洞日报
级别: 论坛版主
发帖
183
云币
339
只看该作者 4楼 发表于: 08-14
回 3楼(妙正灰) 的帖子
求扩散,哈哈
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个