阿里云漏洞库

CVE编号

CVE-2017-9462

利用情况

POC 已公开

补丁情况

官方补丁

披露时间

2017-06-07

Mercurial是软件开发者Matt Mackall所研发的一套使用Python语言编写的跨平台的分布式版本控制软件。该软件支持同时处理纯文本和二进制文件等。

Mercurial 4.1.3之前的版本中的‘hg serve --stdio’存在远程代码执行漏洞。远程攻击者可通过使用‘--debugger’作为资源库名利用该漏洞启动Python调试程序，执行任意代码。

目前厂商已发布升级补丁以修复漏洞，补丁获取链接：
https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.1.3_.282017-4-18.29

参考链接
http://www.debian.org/security/2017/dsa-3963
http://www.securityfocus.com/bid/99123
https://access.redhat.com/errata/RHSA-2017:1576
https://bugs.debian.org/861243
https://lists.debian.org/debian-lts-announce/2018/07/msg00005.html
https://security.gentoo.org/glsa/201709-18
https://www.mercurial-scm.org/repo/hg/rev/77eaf9539499
https://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_4.1.3_.282017-4-18.29

CWE-ID	漏洞类型
CWE-732	关键资源的不正确权限授予