阿里云
发表主题 回复主题
  • 3652阅读
  • 4回复

[安全漏洞公告专区]程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞

级别: 论坛版主
发帖
153
云币
293
>>rW-&  
近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞 VjtI1I  
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。 4-eb&  
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:                                                                                    8Z4d<DIJ  
    
漏洞编号: LZMdW #,[  
Git: CVE-2017-1000117 t LdBnf  
Apache Subversion: CVE-2017-9800 /u<lh. hPW  
Mercurial: CVE-2017-1000116 v'a]SpE5  
漏洞名称: ?cG+rC%  
Git、Apache Subversion(SVN)、Mercurial版本控制系统被爆远程命令执行漏洞 Dw%>y93V  
官方评级: 3P6pQm'.f  
高危 fGcAkEstT!  
漏洞描述: 7I/Sfmqy"O  
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限 *qAF#  
漏洞利用条件和方式: g (33h2"  
远程钓鱼利用 #StD]d  
漏洞影响范围: 9xB^dKM3  
Git: yUq,9.6Ig  
  • v2.7.6
  • v2.8.6
  • v2.9.5
  • v2.10.4
  • v2.11.3
  • v2.12.4
  • v2.13.5
uTpKT7t  
Apache Subversion: t ^&:45~Q  
  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
  • Apache Subversion client 1.10.0-alpha3
(s %T1 8  
Mercurial: >B>CV8p6w  
  • 小于4.3版本
HPCzh  
漏洞检测:  V-}d-Y  
检查是否使用受影响范围内的版本 zG[fPD  
漏洞修复建议(或缓解措施): o$\ {&:y  
  • Git:升级到Git v2.14.1版本
  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
r[eZV"  
情报来源: 8d-; ;V  
1T%Y:0  
Gs7mO  
r%xp^j}  
?#qA>:2,  
E(4ti]'4  
5hB&]6n  
6^ wg'u]c  
V8NJ0fF  
5u:+hB  
N(dn"`8  
 k1L GT&  
hAOXOj1  
,4NvD2Y  
* <x]gV  
=oluw|TCe7  
3! dD!'  
q+~z# jFX  
E,xCfS)  
gET& +M   
zf$OC}|\w  
`tVBV :4\  
)FMpfC>An  
C]W VH\P p  
YM 7P!8Gc  
RL~\/#  
8!3+Obj  
<!y_L5S|   
h"l{cDk  
N?kXATB  
;)83tx /  
bsr  
cOOPNa>5_  
l2 gI2Cioa  
2a5yJeaIv*  
-hQ=0h~\B.  
[ 此帖被正禾在2017-08-14 09:57重新编辑 ]
级别: 论坛版主
发帖
9135
云币
12991
只看该作者 沙发  发表于: 08-11
回 楼主(正禾) 的帖子
漏洞影响范围:   pTV@nP  
GitLab: ??e#E[bI  
v2.7.6  !k??Kj  
5P t}  
是 Git 不是 Gitlab
[ 此帖被妙正灰在2017-08-11 22:48重新编辑 ]
级别: 论坛版主
发帖
153
云币
293
只看该作者 板凳  发表于: 前天 09:59
回 1楼(妙正灰) 的帖子
cool,编辑疏忽了,Thank you for reminding me!
级别: 论坛版主
发帖
9135
云币
12991
只看该作者 地板  发表于: 前天 11:19
回 2楼(正禾) 的帖子
客气客气,日常看你的漏洞日报
级别: 论坛版主
发帖
153
云币
293
只看该作者 4楼 发表于: 前天 11:57
回 3楼(妙正灰) 的帖子
求扩散,哈哈
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个