Mercurial 畸形Git子模块任意命令执行漏洞公告

1

综述

今年11月,斗象科技能力中心(简称TCC)pnig0s发现开源版本控制软件Mercurial中存在任意命令执行漏洞。

Mercurial 是一种轻量级分布式版本控制系统,采用 Python 语言实现,易于学习和使用,扩展性强。其是基于 GNU General Public License (GPL) 授权的开源项目。

2

漏洞概述

漏洞类型: 远程任意命令执行漏洞

危险等级: 严重

受影响版本:Mercurial

3

漏洞编号

CVE-2017-17458 Mercurial版本管理软件任意命令执行漏洞

4

漏洞描述

Mercurial和GIT一样是当前流行的分布式版本管理软件。Mercurial内部支持submodule子模块功能,攻击者通过构造一个恶意的git类型的子模块,能够让Mercurial将git子模块的配置文件config纳入仓库的版本控制体系。攻击者通过构造恶意的gitconfig文件,能够在受害者检出Mercurial仓库和其包含的git子模块时成功执行任意系统命令。众多支持Mercurial仓库的应用如SourceTree均受此问题影响。

5

修复建议

升级Mercurial至4.4.1

参考链接:

https://bz.mercurial-scm.org/show_bug.cgi?id=5730

https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.4.1_.282017-11-07.29

  • 发表于:
  • 原文链接:http://kuaibao.qq.com/s/20171211B0RG6I00?refer=cp_1026

扫码关注云+社区