SourceTree更新后，安全警告要求我更新Mercurial

Question

自从我升级到SourceTree 1.9.5.0以来，由于存在安全漏洞，经常会提醒我将Mercurial从3.2.3升级到3.7.3。我将在不久的将来这样做，但我有兴趣了解该漏洞的性质。

​

Answer 1

这是相当容易找到:看看变化无常的网站。如果在3.7.3中修复了该漏洞，将在这里声明：.282016-3-29.29

来自变化人口g：

CVE-2016-3630 Mercurial:二进制增量解码中的远程代码执行 3.7.3之前的Mercurial在其二进制增量译码器中包含两个边界检查错误，这些错误可以通过克隆、推送或拉扯来利用。 CVE-2016-3068 Mercurial:使用Git子执行任意代码 3.7.3之前的Mercurial允许Git子result的URL，这可能导致在克隆上执行任意代码。这是Git CVE-2015-7545的另一个副作用。布莱克·伯克哈特报道。 CVE-2016-3069 Mercurial:转换Git repos时执行任意代码 3.7.3之前的Mercurial允许在转换带有恶意名称的Git repos时执行任意代码。这可能影响自动转换服务。布莱克·伯克哈特报道。

Answer 2

我也要吃。

在SourceTree中，转到Tools→Options→Mercurial，然后单击Update按钮。然后重新启动SourceTree。