mercurial-2.6.2-10.el7

エラータID: AXSA:2019-4114:01

リリース日: 
2019/08/19 Monday - 20:16
題名: 
mercurial-2.6.2-10.el7
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
Moderate
Description: 

以下項目について対処しました。

[Security Fix]
- Mercurialには、プロトコルサーバーに正しくないアクセスコントロールを含んで
いたため、結果として、ネットワークを通して認証されていないデータへのアクセスを
許してしまっていた脆弱性があります。 (CVE-2018-1000132)

- Mercurialには、フラグメントの開始地点がオリジナルのデータの終了地点より
も後ろだった場合に、正しくない動作をする脆弱性があります。この脆弱性は
'OVE-20180430-0004' としても知られています。(CVE-2018-13346)

- Mercurialには、整数の加算と減算を誤って取り扱っていた脆弱性があります。
この脆弱性は 'OVE-20180430-0002' としても知られています。
(CVE-2018-13347)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2018-1000132
Mercurial version 4.5 and earlier contains a Incorrect Access Control (CWE-285) vulnerability in Protocol server that can result in Unauthorized data access. This attack appear to be exploitable via network connectivity. This vulnerability appears to have been fixed in 4.5.1.
CVE-2018-13346
The mpatch_apply function in mpatch.c in Mercurial before 4.6.1 incorrectly proceeds in cases where the fragment start is past the end of the original data, aka OVE-20180430-0004.
CVE-2018-13347
mpatch.c in Mercurial before 4.6.1 mishandles integer addition and subtraction, aka OVE-20180430-0002.
追加情報: 

N/A

ダウンロード: 

SRPMS
  1. mercurial-2.6.2-10.el7.src.rpm
    MD5: 2020d499b790cae083da315829578b1d
    SHA-256: e5a5c8d17c066832aae551b4fad1ac1e02ce4ad5702e34f67c6217368721ac1a
    Size: 3.61 MB

Asianux Server 7 for x86_64
  1. mercurial-2.6.2-10.el7.x86_64.rpm
    MD5: c8f6e290dac65f3d1b9cf13dabacc912
    SHA-256: da848fada0f4e91ed6fb012f33e875f614c8228b63586000adb8e79686d6b98e
    Size: 2.60 MB