【漏洞预警】Git\\SVN\\Mercurial源版本控制系统漏洞

2017-08-14 11:09:07
Dear user
您好,近日,三款主流的源版本控制系统Git、Subversion (SVN)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞。

为避免您的业务受影响,京东云建议您及时开展自查,并尽快完成升级更新,详细参见如下指引说明:

【漏洞概述】
应用于Linux kernel、GitHub和Gitlab背后的开源版本控制系统Git,发布了多个更新版本,修复了编号为CVE-2017-1000117的远程命令执行漏洞。通过此漏洞,攻击者可以借助Gitlab等由Git实现的源码管理系统中的clone功能,远程提交一个恶意的"ssh://..."URL链接,进而获取服务器的操作权;也可以向受害者发送一条精心构造的"ssh://..."URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。目前Apache Subversion、Mercurial版本控制系统也存在类似漏洞。

【漏洞编号】
Git: CVE-2017-1000117
Apache Subversion: CVE-2017-9800
Mercurial: CVE-2017-1000116

【风险等级】
高风险

【漏洞影响】
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限。

【危险版本】
Git:除【安全版本】以外的其他版本

Apache Subversion:
•Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
•Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
•Apache Subversion client 1.10.0-alpha3

Mercurial:除【安全版本】以外的其他版本

【安全版本】
Git:
•Git v2.7.6
•Git v2.8.6
•Git v2.9.5
•Git v2.10.4
•Git v2.11.3
•Git v2.12.4
•Git v2.13.5
•Git v2.14.1

Apache Subversion:
•Apache Subversion clients 1.8.19
•Apache Subversion clients 1.9.7

Mercurial:
•Mercurial v4.3/4.3.1
•Mercurial v4.2.3

【检测方法】
自行检查使用的版本控制系统是否在危险版本范围内

【修复建议】
•Git:升级到Git v2.14.1版本
•Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
•Mercurial:升级到Mercurial 4.3 and 4.2.3.版本

【相关参考】
https://about.gitlab.com/2017/08/10/gitlab-9-dot-4-dot-4-released/
http://bobao.360.cn/news/detail/4260.html
https://www.mail-archive.com/linux-kernel@vger.kernel.org/msg1466490.html

JD Cloud team

2017-08-14 11:09:07

This content does not have an English version, but a Chinese version, as shown below.

Do not show this message again.
×