SourceTreeを更新した後、Mercurialの更新を求めるセキュリティ警告が表示される

Question

SourceTree 1.9.5.0にアップグレードして以来、セキュリティの脆弱性のためMercurialを3.2.3から3.7.3にアップグレードすることがよくあります。近いうちにこれを行う予定ですが、私はこの脆弱性の性質について知りたいと考えています。

Answer 1

これはかなり簡単です。水銀のウェブサイトをご覧ください。脆弱性が3.7.3で固定されている場合は、そこに記載されます

CVE-2016から3630のMercurial：変更ログからhttps://www.mercurial-scm.org/wiki/WhatsNew#Mercurial_3.7.3_.282016-3-29.29

復号バイナリデルタで、リモートでコードが実行される

Mercurialの前3.7.3には、クローン、プッシュ、またはプルを介して利用可能なバイナリデルタデコーダに2つの境界チェックエラーが含まれていました。

CVE-2016から3068のMercurial：クローン上の任意のコードの実行につながる可能性のGit subrepos用3.7.3許可されるURLの前にGit subrepos

Mercurialを有する任意のコードの実行。これはGit CVE-2015-7545のさらなる副作用です。 Blake Burkhartによって報告されました。

CVE-2016から3069のMercurial：敵対的な名前を持つGitのレポを変換する際に任意のコードの実行前3.7.3にGitのレポを

Mercurialの変換任意のコード実行を可能にしました。これは自動変換サービスに影響する可能性があります。 Blake Burkhartによって報告されました。

Answer 2

私もそれを持っています。 SourceTreeで

、ツール→に行くオプション→Mercurialの、ちょうど更新Mercurialのボタンをクリックしてください。次に、SourceTreeを再起動します。