Debians sikkerhedsbulletin

DSA-117-1 cvs -- ukorrekt initialisering af variabel

Rapporteret den:
5. mar 2002
Berørte pakker:
cvs
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2002-0092.
Yderligere oplysninger:

Kim Nielsen fandt for nylig et internt problem i CVS-serveren og rapporterede det på postlisten vuln-dev mailing list. Problemet udløses af en ukorrekt initialiseret global variabel. En bruger kan udnytte dette til at få CVS-serveren til at gå ned, serveren kan tilgås via pserver-tjenesten og kører under en fjern brugerid. Det er dog endnu ikke afklaret om en fjern-konto kan være i farezonen.

Problemet er rettet i version 1.10.7-9 i Debians stabile distribution med hjælp fra Niels Heinen og i versioner nyere end 1.11.1p1debian-3 i Debians test- og ustabile distributiner (er dog endnu ikke overført).

Vi anbefaler at du opgraderer din CVS-pakke.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.dsc
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/dists/stable/updates/main/binary-all/cvs-doc_1.10.7-9_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/cvs_1.10.7-9_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/cvs_1.10.7-9_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/cvs_1.10.7-9_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/cvs_1.10.7-9_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/cvs_1.10.7-9_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/cvs_1.10.7-9_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.