程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞

最新推荐文章于 2024-05-27 10:17:21 发布
最新推荐文章于 2024-05-27 10:17:21 发布
阅读量859 收藏
点赞数
文章标签: 程序员

原文地址


近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞 
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。 
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:                                                                                    
    

漏洞编号:   
Git: CVE-2017-1000117  
Apache Subversion: CVE-2017-9800  
Mercurial: CVE-2017-1000116  
漏洞名称:   
Git、 Apache Subversion( SVN)、Mercurial版本控制 系统 被爆远程命令执行漏洞  
官方评级:  
高危  
漏洞描述:  
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限  
漏洞利用条件和方式:   
远程钓鱼利用  
漏洞影响范围:   
Git:  
  • v2.7.6
  • v2.8.6
  • v2.9.5
  • v2.10.4
  • v2.11.3
  • v2.12.4
  • v2.13.5
 
Apache Subversion:  
  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
  • Apache Subversion client 1.10.0-alpha3
 
Mercurial:  
  • 小于4.3版本
 
漏洞检测:   
检查是否使用受影响范围内的版本  
漏洞修复建议(或缓解措施):   
  • Git:升级到Git v2.14.1版本
  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
 
情报来源:    
 

原文地址


云栖精选
关注
GitLab 中 GitHub 导入 API 存在远程代码执行漏洞
OSCS开源安全社区
09-01 327
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。GitLab 的受影响版本中存在远程代码执行漏洞,此漏洞与 CVE-2022-2884 相似,允许经过身份验证的用户通过从 GitHub API 端点导入来实现远程代码执行GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。升级GitLab到15.1.6或更高版本。升级GitLab到15.2.4或更高版本。升级GitLab到15.3.2或更高版本。...
版本控制:GitSvn命令对应关系
胡LiuJia@BLOG
08-24 2744
导言 作为一个只用过git的童鞋,因为工作需要遇见了svn。初次见面时还很羞涩,经过了一段时间的交往,我们之间的关系突飞猛进,也成功地收到了svn的“好人卡”(这是个悲伤的故事)。所以为了让和我一样的svn新童鞋能够快速收获好人卡,整理了一下gitsvn各种操作的对应关系,希望可以帮助到大家。 svn简介 从使用的角度来说,svngit的最大区别是svn是集中式版本控制,svn是分布式版本控制...
Git严重漏洞远程执行代码,Mac和Windows通杀!
最新发布
IT界那些事儿
05-27 8208
不得了了,家人们!就在这几天,Git出了一个严重漏洞,编号,一个可以远程执行代码的RCE漏洞!攻击者精心准备一个Git项目,只要你尝试去Clone它,你的电脑就能执行攻击代码沦陷。比如下面这个GitHub上面的项目:你可以执行一下下面的命令:不出意外的话,你的电脑将会弹出计算器程序:能让你弹计算器,就能执行其他更危险的操作,比如给你种木马等等。Git是我们程序员基本离不开的工具,这波漏洞操作,属实是对程序员定向打击了。接下来我们来理一理这个漏洞的工作原理是怎么样的。
svn漏洞详解
weixin_30640291的博客
11-21 799
成因: SVN(subversion)是源代码版本管理软件,造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘...
GIT远程代码执行漏洞修复
hanjingjava的专栏
07-17 510
两个安全漏洞 CVE-2018-11233 和 CVE-2018-11235 恶意攻击者可借此漏洞创建包含特殊 Git 子模块的 Git 仓库 修复方法,尽快升级新版本git: windows 下载安装新版本Git for Windows (version 2.17.1) ,网址 https://gitforwindows.org/. mac brew install git lin...
.svn信息泄露
肉面飞龙的博客
11-12 1626
生产环境或者外网服务器一定要注意svn信息的保护 否则会被不怀好意的人利用 例如: http://www.baidu.com/.svn/entries 解决方法 apache设置RewriteEngine on RewriteRule \.svn\/ /404.html当svn cp或者co的时候尽量加上–no-auth-cache 如果不加的话就可以在下面的目录里看到你的用户名密码 里
GIT(分布式版本控制系统)入门
捉鱼的熊的博客
12-20 3456
什么是GIT  Git是目前世界上最先进的分布式版本控制系统(没有之一)。      那么问题来了,什么是分布式版本控制系统。      这里举个例子,你需要编写一个文档,这个文档呢财务部需要,产品部也需要。那么你要怎么写呢。无非这样做,先写一部分部门的材料,保存下来一个版本,交给他们,再添加一部分材料保存另一个版本交给另外的部门。如果涉及到多个部门,可能你需要写多个版本,都保存下来。然而,
GitSVN版本控制工具
@baby张~的博客
03-28 1688
现在开发越来越多公司都使用版本控制工具 主流的两种:GitSVN*** 一、Git 克隆项目:git clone xxx.git 创建分支:git branch daily/1.0.0 切换分支:git checkout daily/1.0.0 查看本地分支:git branch 查出远程分支:git branch -r 查看本地远程分支:git branch -a 创建并切换分支:git...
GitSVN的区别
ziania_cumt的博客
04-10 1736
GitSVN的区别 一、 集中式vs分布式 Subversion属于集中式的版本控制系统 集中式的版本控制系统都有一个单一的集中管理的服务器,保存所有文件的修订版本,而协同工作的人们都通过客户端连到这台服务器,取出最新的文件或者提交更新。 好处:每个人都可以一定程度上看到项目中的其他人正在做些什么。而管理员也可以轻松掌控每个开发者的权限。 缺点:中央服务器的单点故障。若是宕机一小时,那么在这一小时内,谁都无法提交更新、还原、对比等,也就无法协同工作。如果中央服务器的磁盘发生故障,并且没做过备份或者
Gitlab 远程命令执行漏洞(CVE-2021-22205)分析
ML_Team的博客
10-29 3547
0x01 前言 GitLab 是由GitLab Inc.开发的一个用于仓库管理系统的开源项目,使用Git作为代码管理工具,可通过Web界面访问公开或私人项目。由于GitLab存在未授权的端点,导致该漏洞在无需进行身份验证的情况下即可进行利用。 0x02 漏洞分析 未授权的端口在于用户注册:https://xx.xx.xx.xx/users/sign_up 还可以滥用Gitlab API接口列出所有项目(包括私有项目) https://xx.xx.xx.xx/api/v4/projec.
svn漏洞利用工具
10-06
svn漏洞利用工具 .svn svn漏洞那shell svn信息查看器
svn源码泄露漏洞工具
08-28
在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。
漏洞预警】GitLab 曝出远程代码执行漏洞
OSCS开源安全社区
07-01 1152
2022年7月1日,OSCS 监测到 GitLab 曝出远程代码执行漏洞。该漏洞等级较为严重,CVE编号为 CVE-2022-2185
漏洞预警】Gitlab 曝出远程代码执行漏洞
murphysec的博客
07-01 1039
2022年7月1日,OSCS 监测到 Gitlab 曝出远程代码执行漏洞。该漏洞等级较为严重。GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。漏洞评级:严重影响项目:GitLab影响版本:获取 GitLab 版本,判断其版本在 [14.0
Gitlab远程代码执行漏洞(CVE-2021-22205)在野利用,8220挖矿团伙最新变种分析
ZL_1618的博客
08-17 393
近日,阿里云安全监测到Gitlab远程代码执行(CVE-2021-22205)在野利用,其团伙不仅利用4层协议服务进行入侵,还集成了使用比较广的WebRCE漏洞,最终通过持久化方式进行挖矿、木马后门维持,对用户主机资源、资产产生不良危害,通过攻击手法、文件命名自动确认为8220挖矿团伙最新变种。阿里云安全持续对最新变种进行监控,发现至10月21日后传播有所上升,11月4日发现利用Gitlab远程代码漏洞进行入侵,提醒广大企业客户注意防护。
漏洞预警Gitlab Wiki API 远程代码执行漏洞
weixin_34221773的博客
09-29 488
漏洞预警Gitlab Wiki API 远程代码执行漏洞 https://aqzt.com/5490.html
GitLab 修复两个严重的远程代码执行漏洞
smellycat000的专栏
08-24 417
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士DevOps 平台 GitLab 修复了位于 GitLab社区版和企业版发布中的两个远程代码执行漏洞 (CVE-2022-2884)。该漏洞的CVSS评分为9.9,可通过GitHub import API被利用,不过首先需要触发认证。GitLab 在安全公告中指出,“GitLab 社区版/企业版中存在一个漏洞,影响自11.3.4起至15.1.5(...
SVN信息泄露漏洞
weixin_47493074的博客
09-19 2275
SVN信息泄露漏洞
版本控制工具进化论:svn, git, mercurial的对比与应用
本文主要探讨了版本控制工具的发展和应用,重点关注了分布式和集中式版本控制工具,如svngitmercurial。随着技术的进步,版本控制工具的角色从单纯的代码版本管理扩展到了促进团队协作和描述代码变更,尤其是对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值