阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 8849阅读
  • 4回复

[安全漏洞公告专区]程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞

级别: 论坛版主
发帖
241
云币
478
@*-t.b2k  
近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞 ^_\%?K_u  
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。 "*ww>0[  
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:                                                                                    ?OVje9  
    
漏洞编号: o8u;2gZx  
Git: CVE-2017-1000117 5 N:IH@  
Apache Subversion: CVE-2017-9800 !:M+7kmr7t  
Mercurial: CVE-2017-1000116 my%MXTm2  
漏洞名称: _[$,WuG1  
Git、Apache Subversion(SVN)、Mercurial版本控制系统被爆远程命令执行漏洞 )w,<XJhg`  
官方评级: ##a.=gl  
高危 K#xL-   
漏洞描述: '>[Ut@lT;  
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限 >Xw0i\G  
漏洞利用条件和方式: hr3<vWAD  
远程钓鱼利用 a6\`r^@  
漏洞影响范围: 1x^Vv;K  
Git: h}4yz96WD  
  • v2.7.6
  • v2.8.6
  • v2.9.5
  • v2.10.4
  • v2.11.3
  • v2.12.4
  • v2.13.5
ry0YS\W  
Apache Subversion: nB6 $*'  
  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
  • Apache Subversion client 1.10.0-alpha3
L wn  
Mercurial: ew<_2Xy"<  
  • 小于4.3版本
C!)ZRuRv  
漏洞检测: a] 7nK+N  
检查是否使用受影响范围内的版本 DGNn#DP  
漏洞修复建议(或缓解措施): zJov*^T-C  
  • Git:升级到Git v2.14.1版本
  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
-quJX;~  
情报来源: slAR<8  
WV}HN  
0[E \h   
3%)@c P:?  
F ESl#.}  
6B+?X5-6DH  
P=l 7m*m  
g{CU1c)B  
WjOP2CVv|  
9 !$&1|,*  
S_?sJwM  
l+j !CvtI  
nDyA][  
_=}.Sg5Q  
snYeo?|b  
|K9*><P?)2  
EvH/d4V;  
/B)2L]6p  
n|Ts:>`V  
bOSqD[?  
o`G6!  
TbLU[(m-n  
c\/-*OYr<  
8 Vf #t!t  
4ETHaIiWp  
>'4$g7o,  
JI  cm$  
[XttT  
c91^7@Xv  
~!=Am:-wr  
+r7hc;+G  
V'tR \b  
% 8wBZ~1-  
?zQW9e  
H\H7a.@nkF  
("F$r$9S  
[ 此帖被正禾在2017-08-14 09:57重新编辑 ]
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 沙发  发表于: 2017-08-11
回 楼主(正禾) 的帖子
漏洞影响范围:   &1=,?s]&  
GitLab: uQW[2f  
v2.7.6 ^tm2Duv  
D'Sdz\:4  
是 Git 不是 Gitlab
[ 此帖被妙正灰在2017-08-11 22:48重新编辑 ]
级别: 论坛版主
发帖
241
云币
478
只看该作者 板凳  发表于: 2017-08-14
回 1楼(妙正灰) 的帖子
cool,编辑疏忽了,Thank you for reminding me!
级别: 论坛版主
发帖
9349
云币
14165
只看该作者 地板  发表于: 2017-08-14
回 2楼(正禾) 的帖子
客气客气,日常看你的漏洞日报
级别: 论坛版主
发帖
241
云币
478
只看该作者 4楼 发表于: 2017-08-14
回 3楼(妙正灰) 的帖子
求扩散,哈哈
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)