程序猿(媛)们注意啦!Git、SVN、Mercurial版本控制系统被爆远程命令执行漏洞

最新推荐文章于 2024-05-27 10:17:21 发布
最新推荐文章于 2024-05-27 10:17:21 发布
阅读量859 收藏
点赞数
文章标签: 程序员

原文地址


近日,三款主流的源版本控制系统Git、Subversion (svn)、Mercurial,发布了更新补丁,修复了一个客户端代码执行漏洞 
恶意的攻击者可以向受害者发送一条精心构造的ssh:// URL链接,当受害者访问这条URL则会触发漏洞导致执行恶意代码。 
该漏洞由GitLab的Brian Neel,Recurity Labs的Joan Schneeweiss和GitHub的Jeff King发现和报告。具体详情如下:                                                                                    
    

漏洞编号:   
Git: CVE-2017-1000117  
Apache Subversion: CVE-2017-9800  
Mercurial: CVE-2017-1000116  
漏洞名称:   
Git、 Apache Subversion( SVN)、Mercurial版本控制 系统 被爆远程命令执行漏洞  
官方评级:  
高危  
漏洞描述:  
攻击者通过精心构造一个"ssh://..."URL链接发送给受害者,如果受害者访问了这个URL,则会导致恶意指令在客户端执行,从而获取主机权限  
漏洞利用条件和方式:   
远程钓鱼利用  
漏洞影响范围:   
Git:  
  • v2.7.6
  • v2.8.6
  • v2.9.5
  • v2.10.4
  • v2.11.3
  • v2.12.4
  • v2.13.5
 
Apache Subversion:  
  • Apache Subversion clients 1.0.0 through 1.8.18 (inclusive)
  • Apache Subversion clients 1.9.0 through 1.9.6 (inclusive)
  • Apache Subversion client 1.10.0-alpha3
 
Mercurial:  
  • 小于4.3版本
 
漏洞检测:   
检查是否使用受影响范围内的版本  
漏洞修复建议(或缓解措施):   
  • Git:升级到Git v2.14.1版本
  • Apache Subversion:升级到Subversion 1.8.19、Subversion 1.9.7版本
  • Mercurial:升级到Mercurial 4.3 and 4.2.3.版本
 
情报来源:    
 

原文地址


云栖精选
关注
GitLab 中 GitHub 导入 API 存在远程代码执行漏洞
OSCS开源安全社区
09-01 328
OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。GitLab 的受影响版本中存在远程代码执行漏洞,此漏洞与 CVE-2022-2884 相似,允许经过身份验证的用户通过从 GitHub API 端点导入来实现远程代码执行GitLab 是由 GitLab 公司开发的、基于 Git 的集成软件开发平台。升级GitLab到15.1.6或更高版本。升级GitLab到15.2.4或更高版本。升级GitLab到15.3.2或更高版本。...
精简Git
雙馬程序猿
11-10 312
精简Git:1.版本控制、2.聊聊Git的历史、3.Git环境配置、4.Git基本理论(重要)、5.Git项目搭建、6.Git文件操作、7.使用码云、8.IDEA中集成Git、9.git分支、10.git的后续学习
Git严重漏洞远程执行代码,Mac和Windows通杀!
IT界那些事儿
05-27 8212
不得了了,家人们!就在这几天,Git出了一个严重漏洞,编号,一个可以远程执行代码的RCE漏洞!攻击者精心准备一个Git项目,只要你尝试去Clone它,你的电脑就能执行攻击代码沦陷。比如下面这个GitHub上面的项目:你可以执行一下下面的命令:不出意外的话,你的电脑将会弹出计算器程序:能让你弹计算器,就能执行其他更危险的操作,比如给你种木马等等。Git是我们程序员基本离不开的工具,这波漏洞操作,属实是对程序员定向打击了。接下来我们来理一理这个漏洞的工作原理是怎么样的。
svn漏洞详解
weixin_30640291的博客
11-21 799
成因: SVN(subversion)是源代码版本管理软件,造成SVN源代码漏洞的主要原因是管理员操作不规范。“在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘...
GIT远程代码执行漏洞修复
hanjingjava的专栏
07-17 513
两个安全漏洞 CVE-2018-11233 和 CVE-2018-11235 恶意攻击者可借此漏洞创建包含特殊 Git 子模块的 Git 仓库 修复方法,尽快升级新版本git: windows 下载安装新版本Git for Windows (version 2.17.1) ,网址 https://gitforwindows.org/. mac brew install git lin...
.svn信息泄露
肉面飞龙的博客
11-12 1626
生产环境或者外网服务器一定要注意svn信息的保护 否则会被不怀好意的人利用 例如: http://www.baidu.com/.svn/entries 解决方法 apache设置RewriteEngine on RewriteRule \.svn\/ /404.html当svn cp或者co的时候尽量加上–no-auth-cache 如果不加的话就可以在下面的目录里看到你的用户名密码 里
IntelliJ IDEA 版本控制(Version Control)及其断点调试
程序猿丶HLK
04-19 5028
一、版本控制 Version Control 不管是个人开发还是团队开发,版本控制都会被使用,而 IDEA 也很好的集成了版本控制的相关结构。 很多人认为 IntelliJ IDEA 自带了 SVN 或是 Git版本控制工具,认为只要安装了 IntelliJ IDEA 就可以完全使用版本控制应有的功能。这完全是一种错误的解读,IntelliJ IDEA 是自带...
idea入门教程.docx
最新发布
07-24
4. **版本控制集成**:内置支持 GitSVNMercurial版本控制系统,便于进行代码版本管理。 5. **图形化调试器**:提供直观的调试界面,支持断点、单步执行、变量查看等功能,有助于快速定位和解决问题。 6. **...
一步一步教你发布构件到Maven中央仓库
xiajiqiu的专栏
08-26 3333
概要相信作为一名合格的Java开发者,一定对Maven有一定的了解,本文不对Maven进行详细描述,关于Maven的更多介绍请移步:http://maven.apache.org/index.html随着自己做Java开发的时间越来越长,相信每一个开发者或多或少都会有许多总结性的东西,也许你会想把这些东西总结并供别人使用,有一个方式就是将自己的构件发布到Maven中央仓库,这样大家都可以使用了。本文
Spring Boot入门实战教程01
xdk2166的博客
08-08 219
Spring Boot入门教程——认识Spring Boot什么是Spring bootSpring boot开发流程Spring boot的特色学习Spring boot的一些建议结语 什么是Spring boot 你是否还在因为为Spring各种繁琐的配置而苦恼,你是否还在因为各种配置的失败而怀疑自己,少年,你OUT了。What?听说用Spring boot十分钟就可以快速实现简单的增删改查?怎么有这么NB的框架! Spring boot是基于最受欢迎的Java框架之一Spring的一款“开箱即用”的
svn漏洞利用工具
10-06
svn漏洞利用工具 .svn svn漏洞那shell svn信息查看器
svn源码泄露漏洞工具
08-28
在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。
漏洞预警】GitLab 曝出远程代码执行漏洞
OSCS开源安全社区
07-01 1153
2022年7月1日,OSCS 监测到 GitLab 曝出远程代码执行漏洞。该漏洞等级较为严重,CVE编号为 CVE-2022-2185
漏洞预警】Gitlab 曝出远程代码执行漏洞
murphysec的博客
07-01 1040
2022年7月1日,OSCS 监测到 Gitlab 曝出远程代码执行漏洞。该漏洞等级较为严重。GitLab 中授权用户可以导入恶意制作的项目导致远程代码执行,攻击者可利用该漏洞执行任意远程代码,OSCS 建议各位开发者关注漏洞风险。GitLab 是美国 GitLab 公司的一款使用 Ruby on Rails 开发的、自托管的、Git版本控制系统)项目仓库应用程序,开发者可通过 Web 界面访问公开或私人项目。漏洞评级:严重影响项目:GitLab影响版本:获取 GitLab 版本,判断其版本在 [14.0
Gitlab远程代码执行漏洞(CVE-2021-22205)在野利用,8220挖矿团伙最新变种分析
ZL_1618的博客
08-17 393
近日,阿里云安全监测到Gitlab远程代码执行(CVE-2021-22205)在野利用,其团伙不仅利用4层协议服务进行入侵,还集成了使用比较广的WebRCE漏洞,最终通过持久化方式进行挖矿、木马后门维持,对用户主机资源、资产产生不良危害,通过攻击手法、文件命名自动确认为8220挖矿团伙最新变种。阿里云安全持续对最新变种进行监控,发现至10月21日后传播有所上升,11月4日发现利用Gitlab远程代码漏洞进行入侵,提醒广大企业客户注意防护。
漏洞预警Gitlab Wiki API 远程代码执行漏洞
weixin_34221773的博客
09-29 489
漏洞预警Gitlab Wiki API 远程代码执行漏洞 https://aqzt.com/5490.html
GitLab 修复两个严重的远程代码执行漏洞
smellycat000的专栏
08-24 418
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士DevOps 平台 GitLab 修复了位于 GitLab社区版和企业版发布中的两个远程代码执行漏洞 (CVE-2022-2884)。该漏洞的CVSS评分为9.9,可通过GitHub import API被利用,不过首先需要触发认证。GitLab 在安全公告中指出,“GitLab 社区版/企业版中存在一个漏洞,影响自11.3.4起至15.1.5(...
SVN信息泄露漏洞
weixin_47493074的博客
09-19 2276
SVN信息泄露漏洞
版本控制工具进化论:svn, git, mercurial的对比与应用
本文主要探讨了版本控制工具的发展和应用,重点关注了分布式和集中式版本控制工具,如svngitmercurial。随着技术的进步,版本控制工具的角色从单纯的代码版本管理扩展到了促进团队协作和描述代码变更,尤其是对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值