微信号:YunTouTiao

介绍:云计算领域科技媒体:传播观点,传播价值;Web:www.yuntoutiao.com ,欢迎互动~~~

Git、SVN 和 Mercurial 控制系统爆出重大漏洞:可任意执行代码

2017-08-12 21:11 云头条

三款主要的开源版本控制系统都面临险境:存在可能让攻击者任意执行代码的漏洞。



全球各地的开发人员可要注意了:你们必须立即更新版本控制系统,否则就有可能面临这种风险:因一个已知漏洞而被人钻空子。


三种主要的开源版本控制系统:Git、Subversion(svn)和Mercurial近日都纷纷发布了更新版,针对一个重大的安全漏洞打上补丁,该漏洞有可能让攻击者能够执行任意代码。安全漏洞是由GitLab的布赖恩·尼尔(Brian Neel)、Recurity Labs的乔恩·施奈韦兹(Joern Schneeweisz)和GitHub的杰夫·金(Jeff King)发现并报告的。


Git广泛用于开源开发,是Linux内核背后的版本控制系统。Git方面已发布了多个版本,以堵住新漏洞。今天发布的有Git v2.14.1、2.7.6、v2.8.6、v2.9.5、v2.10.4、v2.11.3、v2.12.4和v2.13.5,打上了补丁,以确保安全。


Git维护人员朱尼尔·哈马诺(Junio Hamano)在邮件列表消息中写道:“这些版本含有针对CVE-2017-1000117的安全补丁,是与存在类似问题的Subversion和Mercurial协同发布的。CVE-2017-9800和CVE-2017-1000116是分别为这些系统的类似问题而取的名字,这些问题如今在协同发布的各自版本中已得到了解决。”


上述安全漏洞需要一点社会工程学伎俩才能得逞。


Git在安全公告中提醒:“恶意的第三方可以向未起疑心的受害者发送做过手脚的‘ssh://…’URL;一旦试图访问该URL,就会导致驻留在受害者机器上的任何程序被执行。”


ApacheSubversion(SVN)1.9.7更新版针对CVE-2017-9800问题打上了问题,这个问题的性质类似Git打上补丁的那个问题。


“通过svn:externals和svn:sync-from-url中恶意的svn+ssh URL,在客户端上任意执行代码”,这正是新的SVN更新版中打上补丁的安全问题。


开源Mercurial版本控制项目推出了新的4.3和4.2.3更新版,以消除这个问题。Mercurial将该漏洞标为CVE-2017-1000115。


Mercurial的安全公告提醒:“Mercurial并不确保传递给ssh的主机名干净,从而让攻击者得以通过指定以-oProxyCommand开始的主机名,实施shell注入攻击。”


相关阅读:

中高端IT圈人群,欢迎加入!

赏金制:欢迎来爆料!长期有效!


 
云头条 更多文章 2017年容器和云编排调查结果及分析 深信服商用密码产品整改,9月25日之前国内禁止销售 云服务是企业未来 中国首个企业云大厦落地深圳 IBM、华为、柏科中标天津公安云平台(数据库部分:2098万) 数据又又又被删除了:主角是思科12亿美元收购的Meraki
猜您喜欢 (深圳)世界第一无人机公司大疆招聘测试工程师(15-25k) HTML XHTML HTML5 Hadoop处于风雨飘摇中|「云头条」 Swift 如何优雅的实现 异步顺序任务 比特 | 关于求职你应该知道的那些事