阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 8821阅读
  • 4回复

[安全漏洞公告专区]程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞

级别: 论坛版主
发帖
241
云币
478
?5(L.XFm  
近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞 Ey6K@@%  
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。 W2<X 5'  
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:                                                                                    _Jp_TvP>  
    
漏洞编号: wz, \zh  
Git: CVE-2017-1000117 'R'>`?Nh  
Apache Subversion: CVE-2017-9800 KDXo9FzF  
Mercurial: CVE-2017-1000116 9723f1&Vd  
漏洞名称: '@fk(~|  
Git、Apache Subversion(SVN)、Mercurial版本控制系统被爆远程命令执行漏洞 #-@{rgH  
官方评级: .1pEq~>  
高危 VKs\b-1  
漏洞描述: t%TZu>(1O  
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限 ,h>w%  
漏洞利用条件和方式: w(G(Q>GI  
远程钓鱼利用 v4v+;[a%  
漏洞影响范围: w+MdQ@'5  
Git: JNu- z:J  
  • v2.7.6
  • v2.8.6
  • v2.9.5
  • v2.10.4
  • v2.11.3
  • v2.12.4
  • v2.13.5
HUghl2L.<  
Apache Subversion: LBE".+  
  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
  • Apache Subversion client 1.10.0-alpha3
$W?XxgkB?  
Mercurial: vq s~a7E-P  
  • 小于4.3版本
S?{5DxilO  
漏洞检测: wY95|QS  
检查是否使用受影响范围内的版本 VZ,T`8"  
漏洞修复建议(或缓解措施): r#Mx~Zg~  
  • Git:升级到Git v2.14.1版本
  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
Chua>p!$g  
情报来源: aYgJTep>r  
yRYWx` G  
4yA`);r62  
A!D:Kc3  
`#f=&S?k  
/kz&9FM  
64lEB>VNm  
K[[k,W]qb  
[!le 9aNg  
 eqR#`  
V.#8-?z  
~D5MAEazS  
#H`y1zm  
u\xm8}A  
=M 5M;  
{*U:Wm<  
{wP|b@(1t  
6\;1<Sw*  
@>5<m'}2  
ku?_/-ko]  
dLf8w>i`T  
fO^6q1a  
mPin\-I  
1RbYPX  
'I]"=O,  
kW&Z%k  
v{n}%akc  
l7,qWSsn K  
.4> s2  
q}$=bR1+  
h)8+4?-4 I  
Ts .Z l{B  
Ok&>[qu  
b U]N^og^  
lmKq xs4  
U!:!]DX(  
[ 此帖被正禾在2017-08-14 09:57重新编辑 ]
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 沙发  发表于: 2017-08-11
回 楼主(正禾) 的帖子
漏洞影响范围:   (>rS _#^  
GitLab: 5vs`uUzr  
v2.7.6 j8[`~p b  
jh 7p62R  
是 Git 不是 Gitlab
[ 此帖被妙正灰在2017-08-11 22:48重新编辑 ]
级别: 论坛版主
发帖
241
云币
478
只看该作者 板凳  发表于: 2017-08-14
回 1楼(妙正灰) 的帖子
cool,编辑疏忽了,Thank you for reminding me!
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 地板  发表于: 2017-08-14
回 2楼(正禾) 的帖子
客气客气,日常看你的漏洞日报
级别: 论坛版主
发帖
241
云币
478
只看该作者 4楼 发表于: 2017-08-14
回 3楼(妙正灰) 的帖子
求扩散,哈哈
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 30 - 18 = ?
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)