程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞

时间:2022-06-30 18:27:04

原文地址


近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞 
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。 
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:                                                                                    
    


漏洞编号:   
Git: CVE-2017-1000117  
Apache Subversion: CVE-2017-9800  
Mercurial: CVE-2017-1000116  
漏洞名称:   
Git、 Apache Subversion( SVN)、Mercurial版本控制 系统 被爆远程命令执行漏洞  
官方评级:  
高危  
漏洞描述:  
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限  
漏洞利用条件和方式:   
远程钓鱼利用  
漏洞影响范围:   
Git:  
  • v2.7.6
  • v2.8.6
  • v2.9.5
  • v2.10.4
  • v2.11.3
  • v2.12.4
  • v2.13.5
 
Apache Subversion:  
  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
  • Apache Subversion client 1.10.0-alpha3
 
Mercurial:  
  • 小于4.3版本
 
漏洞检测:   
检查是否使用受影响范围内的版本  
漏洞修复建议(或缓解措施):   
  • Git:升级到Git v2.14.1版本
  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
 
情报来源:    
 

原文地址

程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞