FERRAMENTAS LINUX: Atualização de segurança, do Debian para o mercurial, aviso Debian LTS: DLA-2293-1

sexta-feira, 31 de julho de 2020

Atualização de segurança, do Debian para o mercurial, aviso Debian LTS: DLA-2293-1




Confira !!


Várias vulnerabilidades foram descobertas no mercurial, um sistema de controle de versão distribuído e fácil de usar e escalável. CVE-2017-17458
-------------------------------------------------- -----------------------
Comunicado Debian LTS DLA-2293-1                 debian-lts@lists.debian.org
https://www.debian.org/lts/security/                                   
27 de julho de 2020 https://wiki.debian.org/LTS
-------------------------------------------------- -----------------------

Pacote: mercurial
Versão: 4.0-1 + deb9u2
ID da CVE: CVE-2017-17458 CVE-2018-13346 CVE-2018-13347 CVE-2018-13348
                 CVE-2018-1000132 CVE-2019-3902
Erro no Debian: 901050 892964 927674

Várias vulnerabilidades foram descobertas em mercurial, um fácil de usar,
sistema de controle de versão distribuído e escalável.

CVE-2017-17458

    No Mercurial anterior a 4.4.1, é possível que um item especialmente
    repositório mal formado pode fazer com que os sub-repositórios Git sejam executados
    código arbitrário na forma de um script .git / hooks / post-update
    verificado no repositório. O uso típico de Mercurial impede
    construção desses repositórios, mas eles podem ser criados
    programaticamente.

CVE-2018-13346

    A função mpatch_apply no mpatch.c no Mercurial antes da 4.6.1
    prossegue incorretamente nos casos em que o início do fragmento ultrapassa o
    fim dos dados originais.

CVE-2018-13347

    mpatch.c no Mercurial antes da 4.6.1 manipula incorretamente a adição de números inteiros e
    subtração.

CVE-2018-13348

    A função mpatch_decode no mpatch.c no Mercurial antes da 4.6.1
    manipula mal determinadas situações em que deve haver pelo menos 12
    bytes restantes após a posição atual nos dados do patch, mas
    na verdade não são.

CVE-2018-1000132

    Mercurial versão 4.5 e anterior contém um acesso incorreto
    Vulnerabilidade de controle (CWE-285) no servidor de protocolo que pode resultar
    no acesso não autorizado a dados. Este ataque parece ser explorável
    via conectividade de rede. Esta vulnerabilidade parece ter sido
    fixado em 4.5.1.

CVE-2019-3902

    Links simbólicos e sub-repositórios podem ser usados ​​para derrotar o Mercurial
    lógica de verificação de caminho e gravar arquivos fora da raiz do repositório.

Para o Debian 9, esses problemas foram corrigidos na versão
4.0-1 + deb9u2.

Recomendamos que você atualize seus pacotes mercuriais.

Para o status detalhado de segurança da mercurial, consulte
sua página do rastreador de segurança em:
https://security-tracker.debian.org/tracker/mercurial

Mais informações sobre os avisos de segurança Debian LTS, como aplicar
Essas atualizações do sistema e as perguntas freqüentes podem ser
encontrado em: https://wiki.debian.org/LTS


Fonte

Até a próxima !

Nenhum comentário:

Postar um comentário