Mercurial 畸形Git子模块任意命令执行漏洞公告

1

综述

今年11月，斗象科技能力中心（简称TCC）pnig0s发现开源版本控制软件Mercurial中存在任意命令执行漏洞。

Mercurial 是一种轻量级分布式版本控制系统，采用 Python 语言实现，易于学习和使用，扩展性强。其是基于 GNU General Public License (GPL) 授权的开源项目。

2

漏洞概述

漏洞类型： 远程任意命令执行漏洞

危险等级： 严重

受影响版本：Mercurial

3

漏洞编号

CVE-2017-17458 Mercurial版本管理软件任意命令执行漏洞

4

漏洞描述

Mercurial和GIT一样是当前流行的分布式版本管理软件。Mercurial内部支持submodule子模块功能，攻击者通过构造一个恶意的git类型的子模块，能够让Mercurial将git子模块的配置文件config纳入仓库的版本控制体系。攻击者通过构造恶意的gitconfig文件，能够在受害者检出Mercurial仓库和其包含的git子模块时成功执行任意系统命令。众多支持Mercurial仓库的应用如SourceTree均受此问题影响。

5

修复建议

升级Mercurial至4.4.1

参考链接：

https://bz.mercurial-scm.org/show_bug.cgi?id=5730

https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.4.1_.282017-11-07.29