阿里云
订阅广场
发表主题 回复主题
  • 5621阅读
  • 4回复

[安全漏洞公告专区]程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞

级别: 论坛版主
发帖
215
云币
400
[-[|4|CnOm  
近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞 [0+5 Gx  
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。 8/34{2048  
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:                                                                                    gp'n'K]  
    
漏洞编号: Us9$,(3  
Git: CVE-2017-1000117 8DrKq]&  
Apache Subversion: CVE-2017-9800 a7NX~9 g  
Mercurial: CVE-2017-1000116 q33!X!br  
漏洞名称: ,TO&KO1;&  
Git、Apache Subversion(SVN)、Mercurial版本控制系统被爆远程命令执行漏洞 $0iN43WSQ  
官方评级: }\ui} \  
高危 D+_PyK~ jc  
漏洞描述: Z@iMG  
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限 ZsPBs4<p  
漏洞利用条件和方式: NU/~E"^I.  
远程钓鱼利用 'E8dkVlI  
漏洞影响范围: oB Bdk@  
Git: S+OI?QS  
  • v2.7.6
  • v2.8.6
  • v2.9.5
  • v2.10.4
  • v2.11.3
  • v2.12.4
  • v2.13.5
8CSvg{B  
Apache Subversion: W%Zyt:H`  
  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
  • Apache Subversion client 1.10.0-alpha3
I0jEhg%JZ  
Mercurial: "Lpt@g[HF  
  • 小于4.3版本
tT#Q`cB  
漏洞检测: &FvNz  
检查是否使用受影响范围内的版本 $X&OGTlw^  
漏洞修复建议(或缓解措施): :* /``  
  • Git:升级到Git v2.14.1版本
  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
:~)Q]G1Nj  
情报来源: RBgkC+2  
;09J;sf  
qP<,"9!I  
LA@}{hU  
y<.!TULa_  
K :q-[\G  
a@r K%Iff  
$xZk{ rK  
SCH![Amq  
t@JPnA7~  
+@qk=]3a  
pn7 :")Zx  
tx1jBh:e=  
`U1%d7[vY  
<d5vVn  
*nW9)T  
p+7BsW.l  
)Z%+~n3o'  
qtH&]Suu,  
-pGt ;  
"AK3t' jF*  
1DcarF  
Mqtp}<*@-  
hw'2q9J|  
2!otVz! Mh  
fBOPd =  
`^ _:  
Bw=[g&+o1@  
U ^9oc&  
#"{8Z&Z  
X[~CLKH(  
&P3vcB  
e`Yns$x  
WO9/rF_  
E\S&} K,s  
NFc8"7Mz}  
[ 此帖被正禾在2017-08-14 09:57重新编辑 ]
级别: 论坛版主
发帖
9274
云币
13826
只看该作者 沙发  发表于: 2017-08-11
回 楼主(正禾) 的帖子
漏洞影响范围:   6ITLGA  
GitLab: >z`,ch6~  
v2.7.6 1[*{(e  
"W#t;;9Wz  
是 Git 不是 Gitlab
[ 此帖被妙正灰在2017-08-11 22:48重新编辑 ]
级别: 论坛版主
发帖
215
云币
400
只看该作者 板凳  发表于: 2017-08-14
回 1楼(妙正灰) 的帖子
cool,编辑疏忽了,Thank you for reminding me!
级别: 论坛版主
发帖
9274
云币
13826
只看该作者 地板  发表于: 2017-08-14
回 2楼(正禾) 的帖子
客气客气,日常看你的漏洞日报
级别: 论坛版主
发帖
215
云币
400
只看该作者 4楼 发表于: 2017-08-14
回 3楼(妙正灰) 的帖子
求扩散,哈哈
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: ECS是阿里云提供的什么服务? 正确答案:云服务器
上一个 下一个