sexta-feira, 31 de julho de 2020
Atualização de segurança, do Debian para o mercurial, aviso Debian LTS: DLA-2293-1
Confira !!
Várias vulnerabilidades foram descobertas no mercurial, um sistema de controle de versão distribuído e fácil de usar e escalável. CVE-2017-17458
-------------------------------------------------- -----------------------
Comunicado Debian LTS DLA-2293-1 debian-lts@lists.debian.org
https://www.debian.org/lts/security/
27 de julho de 2020 https://wiki.debian.org/LTS
-------------------------------------------------- -----------------------
Pacote: mercurial
Versão: 4.0-1 + deb9u2
ID da CVE: CVE-2017-17458 CVE-2018-13346 CVE-2018-13347 CVE-2018-13348
CVE-2018-1000132 CVE-2019-3902
Erro no Debian: 901050 892964 927674
Várias vulnerabilidades foram descobertas em mercurial, um fácil de usar,
sistema de controle de versão distribuído e escalável.
CVE-2017-17458
No Mercurial anterior a 4.4.1, é possível que um item especialmente
repositório mal formado pode fazer com que os sub-repositórios Git sejam executados
código arbitrário na forma de um script .git / hooks / post-update
verificado no repositório. O uso típico de Mercurial impede
construção desses repositórios, mas eles podem ser criados
programaticamente.
CVE-2018-13346
A função mpatch_apply no mpatch.c no Mercurial antes da 4.6.1
prossegue incorretamente nos casos em que o início do fragmento ultrapassa o
fim dos dados originais.
CVE-2018-13347
mpatch.c no Mercurial antes da 4.6.1 manipula incorretamente a adição de números inteiros e
subtração.
CVE-2018-13348
A função mpatch_decode no mpatch.c no Mercurial antes da 4.6.1
manipula mal determinadas situações em que deve haver pelo menos 12
bytes restantes após a posição atual nos dados do patch, mas
na verdade não são.
CVE-2018-1000132
Mercurial versão 4.5 e anterior contém um acesso incorreto
Vulnerabilidade de controle (CWE-285) no servidor de protocolo que pode resultar
no acesso não autorizado a dados. Este ataque parece ser explorável
via conectividade de rede. Esta vulnerabilidade parece ter sido
fixado em 4.5.1.
CVE-2019-3902
Links simbólicos e sub-repositórios podem ser usados para derrotar o Mercurial
lógica de verificação de caminho e gravar arquivos fora da raiz do repositório.
Para o Debian 9, esses problemas foram corrigidos na versão
4.0-1 + deb9u2.
Recomendamos que você atualize seus pacotes mercuriais.
Para o status detalhado de segurança da mercurial, consulte
sua página do rastreador de segurança em:
https://security-tracker.debian.org/tracker/mercurial
Mais informações sobre os avisos de segurança Debian LTS, como aplicar
Essas atualizações do sistema e as perguntas freqüentes podem ser
encontrado em: https://wiki.debian.org/LTS
Fonte
Até a próxima !
Marcadores: Linux, Android, Segurança
Debian,
Linux,
linux distros,
Linux Segurança,
Notícia
Assinar:
Postar comentários (Atom)
Nenhum comentário:
Postar um comentário