漏洞信息详情
Mercurial 安全漏洞
- CNNVD编号:CNNVD-201712-214
- 危害等级: 超危
- CVE编号: CVE-2017-17458
- 漏洞类型: 操作系统命令注入
- 发布时间: 2017-12-08
- 威胁类型: 远程
- 更新时间: 2020-08-03
- 厂 商: mercurial
- 漏洞来源:
漏洞简介
Mercurial是软件开发者Matt Mackall所研发的一套使用Python语言编写的跨平台的分布式版本控制软件。该软件支持同时处理纯文本和二进制文件等。
Mercurial 4.4.1之前的版本存在安全漏洞。攻击者可利用该漏洞以.git/hooks/post-update脚本形式执行任意代码。
漏洞公告
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://bz.mercurial-scm.org/show_bug.cgi?id=5730
参考网址
来源:BID
链接:http://www.securityfocus.com/bid/102926
来源:MISC
链接:https://bz.mercurial-scm.org/show_bug.cgi?id=5730
来源:MLIST
链接:https://lists.debian.org/debian-lts-announce/2018/07/msg00005.HTML
来源:MLIST
链接:https://lists.debian.org/debian-lts-announce/2020/07/msg00032.HTML
来源:CONFIRM
链接:https://confluence.atlassian.com/sourcetreekb/sourcetree-security-advisory-2018-01-24-942834324.HTML
来源:MISC
链接:https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.4.1_.282017-11-07.29
来源:MLIST
链接:https://lists.debian.org/debian-lts-announce/2018/07/msg00041.HTML
来源:BID
链接:https://www.securityfocus.com/bid/102926
来源:MLIST
链接:https://lists.debian.org/debian-lts-announce/2017/12/msg00027.HTML
来源:MISC
链接:https://www.mercurial-scm.org/pipermail/mercurial-devel/2017-November/107333.HTML
来源:www.auscert.org.au
链接:https://www.auscert.org.au/bulletins/ESB-2020.2627/
受影响实体
- Mercurial Mercurial:3.7.3
- Mercurial Mercurial:3.7.2
- Mercurial Mercurial:3.2.3
补丁
- Mercurial 安全漏洞的修复措施
评论