因严重安全漏洞问题，Git、SVN和Mercurial开源版本控制系统已更新

▌作者：Sean Michael Kerner

▌翻译：360代码卫士团队

全球各地的开发人员要注意了，现在必须更新你的版本控制系统，否则可能面临已知缺陷遭利用带来的风险。

 三种主要的开源版本控制系统Git、Subversion (SVN) 和 Mercurial均发布更新，修复一个可能导致攻击者执行任意代码的严重漏洞。这些漏洞是由来自GitLab的Brian Neel、来自Recurity Labs的Joern Schneeweisz和来自GitHub的Jeff King发现并报告的。

Git是Linux内核的版本控制系统，其产品GitHub和Gitlab为修复这个新漏洞发布了多个补丁，包括Git v2.14.1、v2.7.6、v2.8.6、v2.9.5、v2.10.4、v2.11.3、v2.12.4以及v2.13.5。

Git维护人员Junio Hamano在一封邮件列表信息中写到，“这些补丁中包括为CVE-2017-1000117准备的修复方案，由于跟SVN和Mercurial存在的问题类似，因此协同发布。CVE-2017-9800和CVE-2017-1000116分别被分配给这些系统，解决它们之间的类似问题。”

不过上述提到的安全缺陷需要有一些社交技巧才能被利用。

Git发布公告指出，“恶意第三方能为毫不知觉的受害者编造‘ssh://…’URL，而试图访问这个URL会导致受害者机器上的程序被执行。”

Apache SVN 1.9.7更新修复了跟功能上类似于Git中所修复问题的CVE-2017-9800。SVN更新中修复的安全问题是“通过在svn:externals和svn:sync-from-url中恶意svn+ssh URL在客户端上的任意代码执行问题。”

Mercurial开源版本控制项目更新的目的是4.3和4.2.3更新中出现的问题CVE-2017-1000115。Mercurial安全公告告警称，“Mercurial并未清洁传给ssh的主机名，这样就可通过指定以-oProxyCommand开头的主机名发动shell注入攻击”。

本文由360代码卫士编译，不代表360观点，转载请注明“转自360代码卫士www.codesafe.cn”。