程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞
2017-08-14 00:00
513 查看
摘要: 近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞。
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。
原文地址
近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞。
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:
漏洞编号:
Git: CVE-2017-1000117
Apache Subversion: CVE-2017-9800
Mercurial: CVE-2017-1000116
漏洞名称:
Git、Apache Subversion(SVN)、Mercurial版本控制系统被爆远程命令执行漏洞
官方评级:
高危
漏洞描述:
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限。
漏洞利用条件和方式:
远程钓鱼利用
漏洞影响范围:
Git:
v2.7.6
v2.8.6
v2.9.5
v2.10.4
v2.11.3
v2.12.4
v2.13.5
Apache Subversion:
Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
Apache Subversion client 1.10.0-alpha3
Mercurial:
小于4.3版本
漏洞检测:
检查是否使用受影响范围内的版本
漏洞修复建议(或缓解措施):
Git:升级到Git v2.14.1版本
Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
情报来源:
安全客情报:http://bobao.360.cn/news/detail/4260.html
GitLab官方公告:https://about.gitlab.com/2017/08/10/gitlab-9-dot-4-dot-4-released/
原文地址
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。
原文地址
近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞。
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:
漏洞编号:
Git: CVE-2017-1000117
Apache Subversion: CVE-2017-9800
Mercurial: CVE-2017-1000116
漏洞名称:
Git、Apache Subversion(SVN)、Mercurial版本控制系统被爆远程命令执行漏洞
官方评级:
高危
漏洞描述:
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限。
漏洞利用条件和方式:
远程钓鱼利用
漏洞影响范围:
Git:
v2.7.6
v2.8.6
v2.9.5
v2.10.4
v2.11.3
v2.12.4
v2.13.5
Apache Subversion:
Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
Apache Subversion client 1.10.0-alpha3
Mercurial:
小于4.3版本
漏洞检测:
检查是否使用受影响范围内的版本
漏洞修复建议(或缓解措施):
Git:升级到Git v2.14.1版本
Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
情报来源:
安全客情报:http://bobao.360.cn/news/detail/4260.html
GitLab官方公告:https://about.gitlab.com/2017/08/10/gitlab-9-dot-4-dot-4-released/
原文地址
相关文章推荐
- 程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞
- Git 远程仓库(Github) Git 并不像 SVN 那样有个中心服务器。 目前我们使用到的 Git 命令都是在本地执行,如果你想通过 Git 分享你的代码或者与其他开发人员合作。 你就需要
- Apache shiro 1.2.4版本远程命令执行漏洞详解
- mercurial版本控制系统常用命令
- 在QtCreator上 使用版本控制系统Git ---- 注意事项!
- weblogic node maanger 远程命令执行漏洞
- Windows系统SMB/RDP远程命令执行漏洞
- 【S2-052】Struts2远程命令执行漏洞(CVE-2017-9805)
- Git 远程仓库(分布式版本控制系统)
- nginx文件路径处理远程命令执行漏洞(转)
- 集中式(SVN)和分布式(Git)版本控制系统的简单比较
- 分布式版本控制系统Git(一):Git安装配置、基本命令
- Struts2远程命令执行漏洞
- 使用版本控制的注意事项(Git、SVN等)
- Struts2再爆远程命令执行漏洞![W3bSafe]Struts2-048 Poc Shell及防御修复方案抢先看!
- CVE-2017-9805:Struts2 REST插件远程执行命令漏洞(S2-052) 分析报告
- 关于Apache Struts2 新增远程命令执行高危漏洞的情况通报
- Git中的有个致命的远程执行漏洞
- Apache Struts2 includeParams属性远程命令执行漏洞(CVE-2013-1966)
- 高危Windows系统 SMB/RDP远程命令执行漏洞 手工修复办法