Af Torben B. Sørensen, 11/08/17
Tre udbredte systemer til versionsstyring er ramt af en sårbarhed, der ligger i behandlingen af URL'er, som begynder med "ssh:". Sårbarheden gør det muligt at afvikle en kommando på serveren, der kører Gitlab, Subversion eller Mercurial.
Fejlen er rettet i Gitlab .4.4, 9.3.10, 9.2.10, 9.1.10, 9.0.13 og 8.17.8. Der er rettelser til både GitLab Community Edition (CE) og Enterprise Edition (EE). Endvidere er Git rettet med versionerne 2.14.1, 2.7.6, 2.8.6, 2.9.5, 2.10.4, 2.11.3, 2.12.4 og 2.13.5.
Mercurial 4.3 lukker ligeledes hullet.
Subversion 1.8.19 og 1.9.7 retter fejlen. Der er desuden udsendt patches til version 1.6, 1.8. og 1.9.
Foruden fejlen i behandlingen af SSH-URL'er lukker rettelserne til Mercurial og Gitlab også et andet sikkerhedshul. Det er forbundet med behandlingen af symbolske links.
Anbefaling
Opdater til en rettet version.
Links
- Compromise On Checkout - Vulnerabilities in SCM Tools, blogindlæg fra Recurity, der opdagede sårbarhederne
- GitLab 9.4.4, 9.3.10, 9.2.10, 9.1.10, 9.0.13, and 8.17.8 Critical Security Release
- Mercurial 4.3 (2017-08-10)
- [ANNOUNCE] Git v2.14.1, v2.13.5, and others
- Arbitrary code execution on clients through malicious svn+ssh URLs in svn:externals and svn:sync-from-url, Apache Subversion