GitSVN 和 Mercurial 控制系统爆出重大漏洞:可任意执行代码

Posted 云头条

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了GitSVN 和 Mercurial 控制系统爆出重大漏洞:可任意执行代码相关的知识,希望对你有一定的参考价值。

三款主要的开源版本控制系统都面临险境:存在可能让攻击者任意执行代码的漏洞。



全球各地的开发人员可要注意了:你们必须立即更新版本控制系统,否则就有可能面临这种风险:因一个已知漏洞而被人钻空子。


三种主要的开源版本控制系统:Git、Subversion(svn)和Mercurial近日都纷纷发布了更新版,针对一个重大的安全漏洞打上补丁,该漏洞有可能让攻击者能够执行任意代码。安全漏洞是由GitLab的布赖恩·尼尔(Brian Neel)、Recurity Labs的乔恩·施奈韦兹(Joern Schneeweisz)和GitHub的杰夫·金(Jeff King)发现并报告的。


Git广泛用于开源开发,是Linux内核背后的版本控制系统。Git方面已发布了多个版本,以堵住新漏洞。今天发布的有Git v2.14.1、2.7.6、v2.8.6、v2.9.5、v2.10.4、v2.11.3、v2.12.4和v2.13.5,打上了补丁,以确保安全。


Git维护人员朱尼尔·哈马诺(Junio Hamano)在邮件列表消息中写道:“这些版本含有针对CVE-2017-1000117的安全补丁,是与存在类似问题的Subversion和Mercurial协同发布的。CVE-2017-9800和CVE-2017-1000116是分别为这些系统的类似问题而取的名字,这些问题如今在协同发布的各自版本中已得到了解决。”


上述安全漏洞需要一点社会工程学伎俩才能得逞。


Git在安全公告中提醒:“恶意的第三方可以向未起疑心的受害者发送做过手脚的‘ssh://…’URL;一旦试图访问该URL,就会导致驻留在受害者机器上的任何程序被执行。”


ApacheSubversion(SVN)1.9.7更新版针对CVE-2017-9800问题打上了问题,这个问题的性质类似Git打上补丁的那个问题。


“通过svn:externals和svn:sync-from-url中恶意的svn+ssh URL,在客户端上任意执行代码”,这正是新的SVN更新版中打上补丁的安全问题。


开源Mercurial版本控制项目推出了新的4.3和4.2.3更新版,以消除这个问题。Mercurial将该漏洞标为CVE-2017-1000115。


Mercurial的安全公告提醒:“Mercurial并不确保传递给ssh的主机名干净,从而让攻击者得以通过指定以-oProxyCommand开始的主机名,实施shell注入攻击。”


相关阅读:


以上是关于GitSVN 和 Mercurial 控制系统爆出重大漏洞:可任意执行代码的主要内容,如果未能解决你的问题,请参考以下文章

angular最新教程-第二节使用gitsvn和码云做版本控制

[Android Studio 权威教程]AS 中配置强大的版本号管理系统(GitSVN等)

为系统文件创建和使用Mercurial存储库

是否有PyScripter的Mercurial或Git版本控制插件?

Xcode 持续集成和 Mercurial

Drupal 6:如何为我的 Drupal 项目设置和使用 Mercurial