<div dir="ltr"><div>Git, Mercurial, and Subversion just had a coordinated release to mitigate a security vulnerability regarding the parsing of ssh:// URLs. Essentially, well-crafted ssh:// URLs (e.g. in a subrepo, submodule, or svn:externals references) could lead to local code execution. If you run a command like `git clone --recurse-submodules` or `hg pull --update` and nefarious data is received, you could be p0wned.</div><div><br></div><div>This is tracked in at least CVE-2017-1000116 and CVE-2017-1000117.</div><div><br></div><div>In addition, Mercurial issued a security fix for symlink handling that could result in arbitrary filesystem write (attempts) for well-crafted symlinks. This is CVE-2017-1000115.<br></div><div></div><div><br></div><div>You should upgrade your version control clients ASAP to eliminate exposure to these bugs. Until you do, be extra cognizant where you pull from - especially any operation related to subrepos/submodules.<br></div><div><br></div><div>As of today, <a href="http://hg.mozilla.org">hg.mozilla.org</a> is now configured to not allow subrepos and symlinks on non-user repos. The main Firefox repos have been audited and no "bad" data is present. So, the canonical Firefox repos cannot be used as a delivery vehicle for these exploits. I anticipate popular hosting services like GitHub and Bitbucket will take similar actions and make similar announcements.<br></div><div><br></div><div>Critical version control infrastructure like <a href="http://hg.mozilla.org">hg.mozilla.org</a> and Autoland has been patched for several days courtesy of responsible early disclosure of the vulnerabilities and fixes from the Mercurial Project.<br></div><div><br></div><div>Announcements:</div><div><br></div><div>hg: <a href="https://www.mercurial-scm.org/pipermail/mercurial/2017-August/050522.html">https://www.mercurial-scm.org/pipermail/mercurial/2017-August/050522.html</a></div><div>git: <a href="http://marc.info/?l=git&m=150238802328673&w=2">http://marc.info/?l=git&m=150238802328673&w=2</a></div><div>svn: <a href="http://mail-archives.apache.org/mod_mbox/subversion-announce/201708.mbox/%3C2fefe468-7d41-11e7-aea1-9312c6089150%40apache.org%3E">http://mail-archives.apache.org/mod_mbox/subversion-announce/201708.mbox/%3C2fefe468-7d41-11e7-aea1-9312c6089150%40apache.org%3E</a></div><div><br></div></div>