程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞

近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞。
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:


漏洞编号:
Git: CVE-2017-1000117
Apache Subversion: CVE-2017-9800
Mercurial: CVE-2017-1000116

漏洞名称:
Git、Apache Subversion(SVN)、Mercurial版本控制系统被爆远程命令执行漏洞

官方评级:
高危

漏洞描述:
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限。

漏洞利用条件和方式:
远程钓鱼利用

漏洞影响范围:

GitLab:

  • v2.7.6
  • v2.8.6
  • v2.9.5
  • v2.10.4
  • v2.11.3
  • v2.12.4
  • v2.13.5

Apache Subversion:

  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
  • Apache Subversion client 1.10.0-alpha3

Mercurial:
小于4.3版本

漏洞检测:
检查是否使用受影响范围内的版本

漏洞修复建议(或缓解措施):

  • Git:升级到Git v2.14.1版本
  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本

情报来源:

时间: 2025-01-30 08:45:16

程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞的相关文章

GIT (分布式版本控制系统)

[简介] Git是一款免费.开源的分布式版本控制系统,用于敏捷高效地处理任何或小或大的项目. Git是一个开源的分布式版本控制系统,可以有效.高速的处理从很小到非常大的项目版本管理. Git 是 Linus Torvalds 为了帮助管理 Linux 内核开发而开发的一个开放源码的版本控制软件. Torvalds 开始着手开发 Git 是为了作为一种过渡方案来替代 BitKeeper,后者之前一直是 Linux 内核开发人员在全球使用的主要源代码工具.开放源码社区中的有些人觉得BitKeeper

作为程序猿/媛的你在5.20这一天都干了什么???

今天是2017.5.20,也许你忙的都忘记了今天是网络情人节,因为5.20谐音我爱你,被称为网络情人节,也许身为菜鸟程序猿的你会写个小程序或者copy一个网页发给自己的女票或者媳妇或者.......我相信大多数工作的程序猿都不会再搞这种看似很幼稚的东西,因为很low,就算给女票看了,如果不是那种网页版的,女票也许看不懂,还不如给女票或者媳妇发个大红包或者去海吃一顿或者去大商城狂购一番更让女票高兴和k开心吧,之前我也给自己女票发过网页版的心啊,动态图片啥的,当然修改一下文字和背景音乐或者照片就行了

Git基础 1 ---- 版本控制系统的介绍

 1 Git     1 版本控制系统 vcs - version control system     2 版本控制是一种记录一个或若干文件内容变化,以便将来查阅特定版本修订情况的系统     3 版本控制系统的主要功能        1 记录文件的所有历史变化        2 随时可以恢复到任何一个历史状态        3 多人协作开发或修改        4 错误恢复        5 多功能并行开发     4 版本控制系统分类        1 本地版本控制系统 Local VCS

如何捕获一只野生程序猿做男朋友?

简评:都说程序猿找到妹子比较困难, 这篇文章却给了广大程序猿信息,还是有很多妹子喜欢程序猿GG的,哈哈,那么对于广大妹子,你们想知道如何才能捕获一只每天坐在电脑面前写Bug的野生程序猿么?其实吧,我觉得无论是程序猿追妹子还是妹子追程序猿,只要你用心,那么没有什么是不可能滴! 如何勾引程序员?好吧,虽然小编没啥经验,但小编在知乎上找到了该方面的话题分享,其中小绿分享了不少「勾搭」程序员干货. 小绿的回答: 那是12年夏天,我突然想找个程序员男朋友.经过一些机缘,我认识了一个程序员,但是很遗憾,我们

git svn 笔记

git svn主要使用流程: 从svn仓库初始化成本地git仓库: [cce lang="bash"] git svn clone -s SVN_URL [/cce] 注意:SVN_URL是svn仓库的基础目录,不包含trunk,branches这些目录.这里加上一个-s是–stdlayout的缩写,标识svn地址是符合标准svn目录结构的,既有SVN_URL/trunk,SVN_URL/branches,SVN_URL/tags这些目录(当然后面两个目录是非必须的,如果没有,后续拉分

[.net 面向对象程序设计进阶] (25) 团队开发利器(四)分布式版本控制系统Git——使用GitStack+TortoiseGit 图形界面搭建Git环境【转】

转自:http://www.cnblogs.com/yubinfeng/p/5182271.html 前面介绍了两款代码管理工具VSS和SVN,这两种管理工具在很长一段时间曾为我们的代码管理提供了便利,本篇介绍一款思维方式完全不同(也可以说不合常理)的版本控制系统--Git.可以说Git目前非常火,这与设计者剑指偏锋的设计思想有很大关系.Git采用发散的思维管理代码,最大的特点就是分布式,他可以让来自不同地区的开发者共同完成一个作品,让每个开发者都可以发挥个性,同时又可以由发起者(即项目管理者)

手把手教你玩转Git分布式版本控制系统!

目录  Git诞生历史  Git环境准备 Git安装部署 Git常用命令 Git基本操作 Git管理分支结构 Git管理标签 GitLab安装部署 GitHub托管服务 Git客户端工具   1  Git诞生历史   我想大家还记得Linus torvalds在1991年时发布了Linux操作系统吧,从那以后Linux系统变不断发展壮大,因为Linux系统开源的特性,所以一直接受着来自全球Linux技术爱好者的贡献,志愿者们通过邮件向Linus发送着自己编写的源代码文件,然后由Linus本人通过

《C语言点滴》一第1章 程序猿 && 程序媛1.1 装备篇

第1章 程序猿 && 程序媛 C语言点滴 1.1 装备篇 C语言点滴1.1.1 衣着程序猿们通常并不在意穿着,整天西装革履的基本上都是销售人员.一般的程序员日常的穿戴通常都是牛仔裤和T恤衫,其中一个最主要的原因在于这种穿戴根本不用花时间去打理.牛仔裤很难用眼睛来判断已经多长时间没洗过了,除非你用鼻子靠近去闻一闻.T恤衫虽然比较容易脏,但是可以一次买7件,一周7天每天换一件,不同的颜色和图案还可以代表本日不同的心情.周一可以穿一件有熊图案的T恤,代表这一天基本上自己会比较"熊样&q

程序猿与设计狮之间的那些事儿

  很久没聊过设计师职场了,今天说回那个千古难题:工程师与设计师的1像素之争.设计师认为一像素至关重要,非改不可,工程师认为小题大做,精力没花在刀刃上,有的设计师也容易因此沮丧,如果你是其中之一,推荐来看会代码的设计师如何解决这件事. @JingDesign :无意挑起所谓的职位之间的矛盾,直到今天看到这样一篇文章的时候,是的,这是一篇关于程序猿和设计狮之间的文章,起源是这样的,一位网友在某社区上提了一个问题: 开发人员拒绝按照 UI 标注还原设计,如何让他理解精确还原的重要性,从而去修改代码?