<div dir="ltr"><div>Friendly reminder that for Windows users, you can update Mercurial from the MozillaBuild command prompt by running the |pip install -U mercurial| command.</div><div><br></div><div>-Ryan<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Aug 10, 2017 at 3:10 PM, Gregory Szorc <span dir="ltr"><<a href="mailto:gps@mozilla.com" target="_blank">gps@mozilla.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Git, Mercurial, and Subversion just had a coordinated release to mitigate a security vulnerability regarding the parsing of ssh:// URLs. Essentially, well-crafted ssh:// URLs (e.g. in a subrepo, submodule, or svn:externals references) could lead to local code execution. If you run a command like `git clone --recurse-submodules` or `hg pull --update` and nefarious data is received, you could be p0wned.</div><div><br></div><div>This is tracked in at least CVE-2017-1000116 and CVE-2017-1000117.</div><div><br></div><div>In addition, Mercurial issued a security fix for symlink handling that could result in arbitrary filesystem write (attempts) for well-crafted symlinks. This is CVE-2017-1000115.<br></div><div></div><div><br></div><div>You should upgrade your version control clients ASAP to eliminate exposure to these bugs. Until you do, be extra cognizant where you pull from - especially any operation related to subrepos/submodules.<br></div><div><br></div><div>As of today, <a href="http://hg.mozilla.org" target="_blank">hg.mozilla.org</a> is now configured to not allow subrepos and symlinks on non-user repos. The main Firefox repos have been audited and no "bad" data is present. So, the canonical Firefox repos cannot be used as a delivery vehicle for these exploits. I anticipate popular hosting services like GitHub and Bitbucket will take similar actions and make similar announcements.<br></div><div><br></div><div>Critical version control infrastructure like <a href="http://hg.mozilla.org" target="_blank">hg.mozilla.org</a> and Autoland has been patched for several days courtesy of responsible early disclosure of the vulnerabilities and fixes from the Mercurial Project.<br></div><div><br></div><div>Announcements:</div><div><br></div><div>hg: <a href="https://www.mercurial-scm.org/pipermail/mercurial/2017-August/050522.html" target="_blank">https://www.mercurial-scm.org/<wbr>pipermail/mercurial/2017-<wbr>August/050522.html</a></div><div>git: <a href="http://marc.info/?l=git&m=150238802328673&w=2" target="_blank">http://marc.info/?l=git&m=<wbr>150238802328673&w=2</a></div><div>svn: <a href="http://mail-archives.apache.org/mod_mbox/subversion-announce/201708.mbox/%3C2fefe468-7d41-11e7-aea1-9312c6089150%40apache.org%3E" target="_blank">http://mail-archives.apache.<wbr>org/mod_mbox/subversion-<wbr>announce/201708.mbox/%<wbr>3C2fefe468-7d41-11e7-aea1-<wbr>9312c6089150%40apache.org%3E</a></div><div><br></div></div>
<br>______________________________<wbr>_________________<br>
firefox-dev mailing list<br>
<a href="mailto:firefox-dev@mozilla.org">firefox-dev@mozilla.org</a><br>
<a href="https://mail.mozilla.org/listinfo/firefox-dev" rel="noreferrer" target="_blank">https://mail.mozilla.org/<wbr>listinfo/firefox-dev</a><br>
<br></blockquote></div><br></div>