• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3542-1 mercurial -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3542-1 mercurial -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
mercurial (any)
Описание
В Mercurial, распределённой системе управления версиями, было обнаружено
несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:

CVE-2016-3068
Блэйк Бурхарт обнаружил, что Mercurial разрешает использовать для подрепозиториев
    Git такие URL, которые могут приводить к выполнению произвольного кода при
    выполнении клонирования.
CVE-2016-3069
Блэйк Бурхарт обнаружил, что Mercurial позволяет выполнять произвольный
    код при конвертации Git-репозиториев со специально сформированными
    именами.
CVE-2016-3630
Было обнаружено, что Mercurial неправильно выполняет проверки границ буферов
    в коде декодирования двоичных дельт, что может использоваться для
    удалённого выполнения кода во время клонирования, отправки или загрузки.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 2.2.2-4+deb7u2.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 3.1.2-2+deb8u2.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 3.7.3-1.
Рекомендуется обновить пакеты mercurial.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
mercurial - 3.1.2-2+deb8u2
Debian GNU/Linux 7:
noarch:
mercurial - 2.2.2-4+deb7u2
Ссылки
http://www.debian.org/security/dsa-3542/

Источник: CVE
Наименование: CVE-2016-3069
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3069

Источник: CVE
Наименование: CVE-2016-3068
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3068

Источник: CVE
Наименование: CVE-2016-3630
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3630