173
程序猿(媛)們注意啦!Git、SVN、Mercurial版本控製係統被爆遠程命令執行漏洞
近日,三款主流的源版本控製係統Git、Subversion (svn)、Mercurial,發布了更新補丁,修複了一個客戶端代碼執行漏洞。
惡意的攻擊者可以向受害者發送一條精心構造的ssh:// URL鏈接,當受害者訪問這條URL則會觸發漏洞導致執行惡意代碼。
該漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King發現和報告。具體詳情如下:
漏洞編號:
Git: CVE-2017-1000117
Apache Subversion: CVE-2017-9800
Mercurial: CVE-2017-1000116
漏洞名稱:
Git、Apache Subversion(SVN)、Mercurial版本控製係統被爆遠程命令執行漏洞
官方評級:
高危
漏洞描述:
攻擊者通過精心構造一個"ssh://..."URL鏈接發送給受害者,如果受害者訪問了這個URL,則會導致惡意指令在客戶端執行,從而獲取主機權限。
漏洞利用條件和方式:
遠程釣魚利用
漏洞影響範圍:
GitLab:
- v2.7.6
- v2.8.6
- v2.9.5
- v2.10.4
- v2.11.3
- v2.12.4
- v2.13.5
Apache Subversion:
- Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
- Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
- Apache Subversion client 1.10.0-alpha3
Mercurial:
小於4.3版本
漏洞檢測:
檢查是否使用受影響範圍內的版本
漏洞修複建議(或緩解措施):
- Git:升級到Git v2.14.1版本
- Apache Subversion:升級到Subversion 1.8.19、Subversion 1.9.7版本
- Mercurial:升級到Mercurial 4.3 and 4.2.3.版本
情報來源:
- 安全客情報:https://bobao.360.cn/news/detail/4260.html
- GitLab官方公告:https://about.gitlab.com/2017/08/10/gitlab-9-dot-4-dot-4-released/
最後更新:2017-08-14 10:02:15