Debians sikkerhedsbulletin

DSA-117-1 cvs -- ukorrekt initialisering af variabel

Rapporteret den:

5. mar 2002

Berørte pakker:

cvs

Sårbar:

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2002-0092.

Yderligere oplysninger:

Kim Nielsen fandt for nylig et internt problem i CVS-serveren og rapporterede det på postlisten vuln-dev mailing list. Problemet udløses af en ukorrekt initialiseret global variabel. En bruger kan udnytte dette til at få CVS-serveren til at gå ned, serveren kan tilgås via pserver-tjenesten og kører under en fjern brugerid. Det er dog endnu ikke afklaret om en fjern-konto kan være i farezonen.

Problemet er rettet i version 1.10.7-9 i Debians stabile distribution med hjælp fra Niels Heinen og i versioner nyere end 1.11.1p1debian-3 i Debians test- og ustabile distributiner (er dog endnu ikke overført).

Vi anbefaler at du opgraderer din CVS-pakke.

Rettet i:

Debian GNU/Linux 2.2 (potato)

Kildekode:: http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.dsc; http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz; http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7.orig.tar.gz
Arkitekturuafhængig komponent:: http://security.debian.org/dists/stable/updates/main/binary-all/cvs-doc_1.10.7-9_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/cvs_1.10.7-9_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/cvs_1.10.7-9_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/cvs_1.10.7-9_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/cvs_1.10.7-9_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/cvs_1.10.7-9_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/cvs_1.10.7-9_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.