阿里云首页 阿里云安全产品和技术 相关技术圈

【漏洞公告】Git、SVN、Mercurial版本控制系统存在远程命令执行漏洞

近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞。

恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞,执行恶意代码。

该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。

漏洞详情见下文。

漏洞编号:

Git:CVE-2017-1000117

Apache Subversion:CVE-2017-9800

Mercurial:CVE-2017-1000116

漏洞名称:

Git、Apache Subversion(SVN)、Mercurial版本控制系统远程命令执行漏洞

官方评级:

高危

漏洞描述:

攻击者通过精心构造一个ssh://...URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,导致主机权限被窃取。

漏洞利用条件和方式:

远程钓鱼利用

漏洞影响范围:

Git:

  • Git v2.7.6

  • Git v2.8.6

  • Git v2.9.5

  • Git v2.10.4

  • Git v2.11.3

  • Git v2.12.4

  • Git v2.13.5

Apache Subversion:

  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)

  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)

  • Apache Subversion client 1.10.0-alpha3

Mercurial:小于4.3版本

漏洞检测:

检查是否使用受影响范围内的版本。

漏洞修复建议(或缓解措施):

  • Git:升级到Git v2.14.1版本。

  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本。

  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本。

情报来源:

  • https://about.gitlab.com/2017/08/10/gitlab-9-dot-4-dot-4-released/

  • http://bobao.360.cn/news/detail/4260.html

首页 阿里云安全产品和技术 安全漏洞预警 应用软件安全漏洞 【漏洞公告】Git、SVN、Mercurial版本控制系统存在远程命令执行漏洞