Apache Subversion

Tre udbredte systemer til versionsstyring er ramt af en sårbarhed, der ligger i behandlingen af URL'er, som begynder med "ssh:". Sårbarheden gør det muligt at afvikle en kommando på serveren, der kører Gitlab, Subversion eller Mercurial.

Fejlen er rettet i Gitlab .4.4, 9.3.10, 9.2.10, 9.1.10, 9.0.13 og 8.17.8. Der er rettelser til både GitLab Community Edition (CE) og Enterprise Edition (EE). Endvidere er Git rettet med versionerne 2.14.1, 2.7.6, 2.8.6, 2.9.5, 2.10.4, 2.11.3, 2.12.4 og 2.13.5.

Mercurial 4.3 lukker ligeledes hullet.

Problemet blev opdaget, efter at Google offentliggjorde det første eksempel på en kollision under SHA-1 (Secure Hash Algorithm 1). Kollisionen betyder, at to forskellige PDF-dokumenter danner den samme værdi, når de køres gennem SHA-1-algoritmen. Det burde ikke være muligt.

Udviklerne af WebKit lagde de to dokumenter ind i WebKits kildekodelager, der er baseret på Apache Subversion. Det medførte, at data blev ødelagt.