自从我升级到 SourceTree 1.9.5.0 后,由于安全漏洞,我经常被提醒将 Mercurial 从 3.2.3 升级到 3.7.3。我将在不久的将来这样做,但我有兴趣了解该漏洞的性质。
问问题
2233 次
2 回答
11
我也有
在 SourceTree 中,转到Tools → Options → Mercurial,然后单击Update Mercurial按钮。然后重新启动 SourceTree。
于 2016-07-21T12:23:34.907 回答
4
很容易找到:查看 mercurial 网站。如果漏洞在 3.7.3 中得到修复,则会在此处说明:https ://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_3.7.3_.282016-3-29.29
从变更日志:
CVE-2016-3630 Mercurial:二进制增量解码中的远程代码执行
Mercurial 3.7.3 之前的版本在其二进制增量解码器中包含两个边界检查错误,可以通过克隆、推送或拉取来利用这些错误。
CVE-2016-3068 Mercurial:使用 Git 子存储库执行任意代码
Mercurial 3.7.3 之前的版本允许 Git 子存储库的 URL,这可能导致克隆上的任意代码执行。这是 Git CVE-2015-7545 的另一个副作用。布莱克·伯克哈特报道。
CVE-2016-3069 Mercurial:转换 Git 存储库时执行任意代码
3.7.3 之前的 Mercurial 允许在使用恶意名称转换 Git 存储库时执行任意代码。这可能会影响自动转换服务。布莱克·伯克哈特报道。
于 2016-07-21T14:38:27.233 回答