Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2018-00202

Опубликовано: 02 нояб. 2017
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Средний

Описание

Уязвимость программного средства управления версиями Mercurial связана с неприятием мер по нейтрализации специальных элементов, используемых в команде операционной системы. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнить произвольный код с помощью специально сформированного подрепозитория Git

Вендор

Сообщество свободного программного обеспечения
Matt Mackall
ООО «РусБИТех-Астра»
АО «Концерн ВНИИНС»

Наименование ПО

Debian GNU/Linux
Mercurial
Astra Linux Common Edition
ОС ОН «Стрелец»

Версия ПО

9 (Debian GNU/Linux)
до 4.4.1 (Mercurial)
2.12 «Орёл» (Astra Linux Common Edition)
8 (Debian GNU/Linux)
10 (Debian GNU/Linux)
до 16.01.2023 (ОС ОН «Стрелец»)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Apple Inc. MacOS X
Microsoft Corp Windows -
Microsoft Corp Windows -
Apple Inc. MacOS X
Сообщество свободного программного обеспечения Debian GNU/Linux 9
ООО «РусБИТех-Астра» Astra Linux Common Edition 2.12 «Орёл»
Сообщество свободного программного обеспечения Debian GNU/Linux 8
Сообщество свободного программного обеспечения Debian GNU/Linux 10
АО «Концерн ВНИИНС» ОС ОН «Стрелец» до 16.01.2023

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Mercurial:
https://bz.mercurial-scm.org/show_bug.cgi?id=5730
Для Debian:
Обновление программного обеспечения (пакета mercurial) до 4.0-1+deb9u2 или более поздней версии
Для Astra Linux:
Обновление программного обеспечения (пакета mercurial) до 4.0-1+deb9u2 или более поздней версии
Для ОС ОН «Стрелец»:
Обновление программного обеспечения mercurial до версии 4.0-1+deb9u2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 95%
0.17249
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2017-17458

CVSS3: 9.8
ubuntu
около 8 лет назад

In Mercurial before 4.4.1, it is possible that a specially malformed repository can cause Git subrepositories to run arbitrary code in the form of a .git/hooks/post-update script checked into the repository. Typical use of Mercurial prevents construction of such repositories, but they can be created programmatically.

redhat логотип

CVE-2017-17458

CVSS3: 6.3
redhat
больше 8 лет назад

In Mercurial before 4.4.1, it is possible that a specially malformed repository can cause Git subrepositories to run arbitrary code in the form of a .git/hooks/post-update script checked into the repository. Typical use of Mercurial prevents construction of such repositories, but they can be created programmatically.

nvd логотип

CVE-2017-17458

CVSS3: 9.8
nvd
около 8 лет назад

In Mercurial before 4.4.1, it is possible that a specially malformed repository can cause Git subrepositories to run arbitrary code in the form of a .git/hooks/post-update script checked into the repository. Typical use of Mercurial prevents construction of such repositories, but they can be created programmatically.

debian логотип

CVE-2017-17458

CVSS3: 9.8
debian
около 8 лет назад

In Mercurial before 4.4.1, it is possible that a specially malformed r ...

suse-cvrf логотип

openSUSE-SU-2017:3355-1

suse-cvrf
около 8 лет назад

Security update for mercurial

EPSS

Процентиль: 95%
0.17249
Средний

9.8 Critical

CVSS3

10 Critical

CVSS2