阿里云
云栖社区2017年度内容特辑
发表主题 回复主题
  • 5642阅读
  • 4回复

[安全漏洞公告专区]程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞

级别: 论坛版主
发帖
216
云币
402
~F)[H'$A  
近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞 oGIh:n7 q+  
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。 _;z IH5 H  
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:                                                                                    mFk6a{+YX  
    
漏洞编号: Z'Uc}M'U  
Git: CVE-2017-1000117 5xb1FH d:  
Apache Subversion: CVE-2017-9800 4Su|aWL-  
Mercurial: CVE-2017-1000116 {tKi8O^Rb  
漏洞名称: OYYk[r  
Git、Apache Subversion(SVN)、Mercurial版本控制系统被爆远程命令执行漏洞 %DQ!#Nl*  
官方评级: I_.Jo `lK~  
高危 ?z{Z!Bt?=)  
漏洞描述: F/ si =%  
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限 s[dq-pc "  
漏洞利用条件和方式: v)c[-:"z  
远程钓鱼利用 ,qUOPW?=  
漏洞影响范围: x<=<Lx0B;  
Git: ]r&dWF  
  • v2.7.6
  • v2.8.6
  • v2.9.5
  • v2.10.4
  • v2.11.3
  • v2.12.4
  • v2.13.5
+M s`C)f  
Apache Subversion: <&CzM"\Em  
  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
  • Apache Subversion client 1.10.0-alpha3
K lbUs\E  
Mercurial: hLo'q^mGr  
  • 小于4.3版本
`VL<pqPP  
漏洞检测: >|W\8dTQ  
检查是否使用受影响范围内的版本 8GKqPS+  
漏洞修复建议(或缓解措施): K0 6 E:  
  • Git:升级到Git v2.14.1版本
  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
Om,M8!E  
情报来源: *.P3fVlZ  
S(NUuu}S  
j0(+Kq:J  
+cf.In,{  
~i5t1  
0(h'ZV  
,!I'0x1OR  
dk@j!-q^  
] RLEyDB  
$ 0Up.  
@7z_f!'u  
^(.utO  
]/TqPOi:  
=>u9k:('9  
RI0 +9YJ  
?]Z EK8c  
O ]Stf7]%;  
d_!l RQ^N  
j|c6BdROl  
nd xijqw  
M hJ;)(  
*=~X1s  
qcdENIy0b  
eK_Yt~dj  
J6m(\o  
TU,k( `tn<  
l0g`;BI_  
0Q= o"@  
/@~&zx&_  
q1O}dSPwX  
Ze>Pg.k+  
RI2Or9.  
#&jr9RB  
W;9Jah.  
Q`4]\)Dp  
9b}AZ]$  
[ 此帖被正禾在2017-08-14 09:57重新编辑 ]
级别: 论坛版主
发帖
9276
云币
13830
只看该作者 沙发  发表于: 2017-08-11
回 楼主(正禾) 的帖子
漏洞影响范围:   \a+Q5g  
GitLab: E_~e/y"-  
v2.7.6 XYvj3+  
;U3:1hn  
是 Git 不是 Gitlab
[ 此帖被妙正灰在2017-08-11 22:48重新编辑 ]
级别: 论坛版主
发帖
216
云币
402
只看该作者 板凳  发表于: 2017-08-14
回 1楼(妙正灰) 的帖子
cool,编辑疏忽了,Thank you for reminding me!
级别: 论坛版主
发帖
9276
云币
13830
只看该作者 地板  发表于: 2017-08-14
回 2楼(正禾) 的帖子
客气客气,日常看你的漏洞日报
级别: 论坛版主
发帖
216
云币
402
只看该作者 4楼 发表于: 2017-08-14
回 3楼(妙正灰) 的帖子
求扩散,哈哈
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您在写长篇帖子又不马上发表,建议存为草稿
 
验证问题: 84 - 13 = ?
上一个 下一个