Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3257-1 mercurial

Debians sikkerhedsbulletin

DSA-3257-1 mercurial -- sikkerhedsopdatering

Rapporteret den:

11. maj 2015

Berørte pakker:

mercurial

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 783237.
I Mitres CVE-ordbog: CVE-2014-9462.

Yderligere oplysninger:

Jesse Hertz fra Matasano Security opdagede at Mercurial, et distribueret versionsstyringssystem, var sårbart over for en kommandoindspøjtningssårbarhed gennem et fabrikeret arkivnavn i clone-kommandoen.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 2.2.2-4+deb7u1. Opdateringen indeholder også en rettelse af CVE-2014-9390, som tidligere var planlagt til den næste punktopdatering af wheezy.

I den stabile distribution (jessie), er dette problem rettet i version 3.1.2-2+deb8u1.

I den ustabile distribution (sid), er dette problem rettet i version 3.4-1.

Vi anbefaler at du opgraderer dine mercurial-pakker.