Debian-Sicherheitsankündigung

DSA-117-1 cvs -- Ungenaue Variablen-Initialisierung

Datum des Berichts:
05. Mär 2002
Betroffene Pakete:
cvs
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2002-0092.
Weitere Informationen:

Kim Nielsen entdeckte kürzlich ein internes Problem im CVS-Server und meldete ihn auf der Mailingliste vuln-dev. Das Problem wird von einer ungenau initialisierten globalen Variablen ausgelöst. Ein Benutzer, der dies ausnutzt, kann den CVS-Server abstürzen lassen, der über den pserver-Service erreicht werden kann und unter einer entfernten Benutzer-Kennung läuft. Es ist jedoch noch nicht klar, ob die entfernte Kennung herausgefunden werden kann.

Dieses Problem wurde mit der Hilfe von Niels Heinen in Version 1.10.7-9 für die stable-Debian-Distribution behoben und in neueren Versionen als 1.11.1p1debian-3 für die testing- und unstable-Distribution von Debian (jedoch noch nicht hochgeladen).

Wir empfehlen, dass Sie Ihr CVS-Paket aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.dsc
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/dists/stable/updates/main/binary-all/cvs-doc_1.10.7-9_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/cvs_1.10.7-9_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/cvs_1.10.7-9_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/cvs_1.10.7-9_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/cvs_1.10.7-9_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/cvs_1.10.7-9_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/cvs_1.10.7-9_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.