Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3257-1 mercurial

Säkerhetsbulletin från Debian

DSA-3257-1 mercurial -- säkerhetsuppdatering

Rapporterat den:

2015-05-11

Berörda paket:

mercurial

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 783237.
I Mitres CVE-förteckning: CVE-2014-9462.

Ytterligare information:

Jesse Hertz från Matasano Security upptäckte att Mercurial, ett distribuerat versionshanteringssystem, är sårbart för en kommandoinjiceringssårbarhet via ett skapat förrådsnamn i clone-kommandot.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 2.2.2-4+deb7u1. Denna uppdatering inkluderar även en rättning för CVE-2014-9390 som tidigare schemalagts för nästa punktutgåva av Wheezy.

För den stabila utgåvan (Jessie) har detta problem rättats i version 3.1.2-2+deb8u1.

För den instabila utgåvan (Sid) har detta problem rättats i version 3.4-1.

Vi rekommenderar att ni uppgraderar era mercurial-paket.