Debians sikkerhedsbulletin

DSA-3257-1 mercurial -- sikkerhedsopdatering

Rapporteret den:
11. maj 2015
Berørte pakker:
mercurial
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 783237.
I Mitres CVE-ordbog: CVE-2014-9462.
Yderligere oplysninger:

Jesse Hertz fra Matasano Security opdagede at Mercurial, et distribueret versionsstyringssystem, var sårbart over for en kommandoindspøjtningssårbarhed gennem et fabrikeret arkivnavn i clone-kommandoen.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 2.2.2-4+deb7u1. Opdateringen indeholder også en rettelse af CVE-2014-9390, som tidligere var planlagt til den næste punktopdatering af wheezy.

I den stabile distribution (jessie), er dette problem rettet i version 3.1.2-2+deb8u1.

I den ustabile distribution (sid), er dette problem rettet i version 3.4-1.

Vi anbefaler at du opgraderer dine mercurial-pakker.