Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
mercurial
(any)
Описание
В Mercurial, распределённой системе управления версиями, было обнаружено
несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2016-3068
Блэйк Бурхарт обнаружил, что Mercurial разрешает использовать для подрепозиториев
Git такие URL, которые могут приводить к выполнению произвольного кода при
выполнении клонирования.
CVE-2016-3069
Блэйк Бурхарт обнаружил, что Mercurial позволяет выполнять произвольный
код при конвертации Git-репозиториев со специально сформированными
именами.
CVE-2016-3630
Было обнаружено, что Mercurial неправильно выполняет проверки границ буферов
в коде декодирования двоичных дельт, что может использоваться для
удалённого выполнения кода во время клонирования, отправки или загрузки.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 2.2.2-4+deb7u2.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 3.1.2-2+deb8u2.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 3.7.3-1.
Рекомендуется обновить пакеты mercurial.
несколько уязвимостей. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2016-3068
Блэйк Бурхарт обнаружил, что Mercurial разрешает использовать для подрепозиториев
Git такие URL, которые могут приводить к выполнению произвольного кода при
выполнении клонирования.
CVE-2016-3069
Блэйк Бурхарт обнаружил, что Mercurial позволяет выполнять произвольный
код при конвертации Git-репозиториев со специально сформированными
именами.
CVE-2016-3630
Было обнаружено, что Mercurial неправильно выполняет проверки границ буферов
в коде декодирования двоичных дельт, что может использоваться для
удалённого выполнения кода во время клонирования, отправки или загрузки.
В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены
в версии 2.2.2-4+deb7u2.
В стабильном выпуске (jessie) эти проблемы были исправлены в
версии 3.1.2-2+deb8u2.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 3.7.3-1.
Рекомендуется обновить пакеты mercurial.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 8:
noarch:
mercurial - 3.1.2-2+deb8u2
Debian GNU/Linux 7:
noarch:
mercurial - 2.2.2-4+deb7u2
Debian GNU/Linux 8:
noarch:
mercurial - 3.1.2-2+deb8u2
Debian GNU/Linux 7:
noarch:
mercurial - 2.2.2-4+deb7u2
Ссылки
http://www.debian.org/security/dsa-3542/
Источник: CVE
Наименование: CVE-2016-3069
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3069
Источник: CVE
Наименование: CVE-2016-3068
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3068
Источник: CVE
Наименование: CVE-2016-3630
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3630
Источник: CVE
Наименование: CVE-2016-3069
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3069
Источник: CVE
Наименование: CVE-2016-3068
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3068
Источник: CVE
Наименование: CVE-2016-3630
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-3630