Debian DLA-2293-1: mercurialセキュリティ更新プログラム

critical Nessus プラグイン ID 139244

Language:

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

使いやすく、スケーラブルな分散バージョンコントロールシステムであるmercurialで複数の脆弱性が発見されました。

CVE-2017-17458

4.4.1より前のMercurialでは、特別に細工された形式のリポジトリにより、リポジトリにチェックインされた.git/hooks/post-updateスクリプトの形式で任意のコードがGitサブリポジトリで実行される可能性があります。
通常、Mercurialを使用すると、このようなリポジトリの構築が妨げられますが、プログラムで作成することも可能です。

CVE-2018-13346

4.6.1より前のMercurialのmpatch.cにおけるmpatch_apply関数は、フラグメントの開始が元のデータの終わりを過ぎている場合に誤って処理されます。

CVE-2018-13347

4.6.1より前のMercurialのmpatch.cでは、整数の加算や減算が不適切に処理されます。

CVE-2018-13348

4.6.1より前のMercurialのmpatch.cにおけるmpatch_decode関数は、パッチデータの現在の位置より後には12バイト以上が残っており、実際に残っていないという特定の状況を誤って処理します。

CVE-2018-1000132

Mercurialバージョン4.5以前には、プロトコルサーバーに不正なアクセス制御（CWE-285）の脆弱性が含まれており、不正なデータアクセスが発生する可能性があります。この攻撃は、ネットワーク接続経由で悪用される可能性があります。この脆弱性は4.5.1では修正されていると見られます。

CVE-2019-3902

シンボリックリンクとサブリポジトリは、Mercurialのパスチェックロジックを無効にし、リポジトリのルートの外側にファイルを書き込むために使用される可能性があります。

Debian 9「Stretch」では、これらの問題はバージョン4.0-1+deb9u2で修正されています。

お使いのmercurialパッケージをアップグレードすることを推奨します。

mercurialの詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/mercurial

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。