阿里云
1024开发者盛宴之Java专家问答专场
发表主题 回复主题
  • 7582阅读
  • 4回复

[安全漏洞公告专区]程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞

级别: 论坛版主
发帖
240
云币
472
4eMNKIsvY$  
近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞 Q&}`( ]k  
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。 -/*-e /+b  
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:                                                                                    9^h0D}#@  
    
漏洞编号: <t>"b|fW  
Git: CVE-2017-1000117 7dhip  
Apache Subversion: CVE-2017-9800 DF|(CQs9  
Mercurial: CVE-2017-1000116 WI/&r5rq   
漏洞名称: ^  ry   
Git、Apache Subversion(SVN)、Mercurial版本控制系统被爆远程命令执行漏洞 *~~ >?  
官方评级: bx`s;r=  
高危 8Ux3,X=  
漏洞描述: *^e06xc:  
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限 7SOi9JU_  
漏洞利用条件和方式: N=]2vyh  
远程钓鱼利用 xPoI+,  
漏洞影响范围: ?s/]k#H  
Git: .Az' THD}  
  • v2.7.6
  • v2.8.6
  • v2.9.5
  • v2.10.4
  • v2.11.3
  • v2.12.4
  • v2.13.5
OBp<A+a  
Apache Subversion: >_ bH ,/D'  
  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
  • Apache Subversion client 1.10.0-alpha3
c@!%.# |y  
Mercurial: tfW*(oU  
  • 小于4.3版本
(!`TO{!6P  
漏洞检测: SC/|o  
检查是否使用受影响范围内的版本 ;/T=ctIs  
漏洞修复建议(或缓解措施): n\Y{ ?x  
  • Git:升级到Git v2.14.1版本
  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
^GMM%   
情报来源: V`Ve__5;  
C{AVV<  
X&R ,-^  
&!7{2E\7C  
zSt6q  
>(nb8T|  
zQvp<IUq  
5H8]N#Y&  
8Ac5K!  
#'s}=i}y"C  
6bj.z  
,FWC|uM"  
hI249gW9  
G1K72M}CW  
Y)="of  
,.Xqb~  
 5`];[M9  
%^1@c f?.  
Qry?h*p+`  
aLzRbRv  
|cKo#nfzZ  
?8 dd^iX/  
0V:7pSC{P  
9cV;W\ Tw  
!@2L g  
rO#WG}E<"  
&,vPZ,7l  
@nIoYT='  
c*iZ6j"iI  
jvGGIb"&1  
`+Ko{rf+9  
LRe2wT>I  
e6O+hC]:  
3eOwy~  
lN@SfM4\  
GJ1ap^k  
[ 此帖被正禾在2017-08-14 09:57重新编辑 ]
级别: 论坛版主
发帖
9346
云币
14142
只看该作者 沙发  发表于: 2017-08-11
回 楼主(正禾) 的帖子
漏洞影响范围:   ! UT'4Fs  
GitLab: uos8Mav{E  
v2.7.6 rt+4-WuK>  
Ce}`z L  
是 Git 不是 Gitlab
[ 此帖被妙正灰在2017-08-11 22:48重新编辑 ]
级别: 论坛版主
发帖
240
云币
472
只看该作者 板凳  发表于: 2017-08-14
回 1楼(妙正灰) 的帖子
cool,编辑疏忽了,Thank you for reminding me!
级别: 论坛版主
发帖
9346
云币
14142
只看该作者 地板  发表于: 2017-08-14
回 2楼(正禾) 的帖子
客气客气,日常看你的漏洞日报
级别: 论坛版主
发帖
240
云币
472
只看该作者 4楼 发表于: 2017-08-14
回 3楼(妙正灰) 的帖子
求扩散,哈哈
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
批量上传需要先选择文件,再选择上传
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个