Debian-Sicherheitsankündigung
DSA-117-1 cvs -- Ungenaue Variablen-Initialisierung
- Datum des Berichts:
- 05. Mär 2002
- Betroffene Pakete:
- cvs
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2002-0092.
- Weitere Informationen:
-
Kim Nielsen entdeckte kürzlich ein internes Problem im CVS-Server und meldete ihn auf der Mailingliste vuln-dev. Das Problem wird von einer ungenau initialisierten globalen Variablen ausgelöst. Ein Benutzer, der dies ausnutzt, kann den CVS-Server abstürzen lassen, der über den pserver-Service erreicht werden kann und unter einer entfernten Benutzer-Kennung läuft. Es ist jedoch noch nicht klar, ob die entfernte Kennung herausgefunden werden kann.
Dieses Problem wurde mit der Hilfe von Niels Heinen in Version 1.10.7-9 für die stable-Debian-Distribution behoben und in neueren Versionen als 1.11.1p1debian-3 für die testing- und unstable-Distribution von Debian (jedoch noch nicht hochgeladen).
Wir empfehlen, dass Sie Ihr CVS-Paket aktualisieren.
- Behoben in:
-
Debian GNU/Linux 2.2 (potato)
- Quellcode:
- http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.dsc
- http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/dists/stable/updates/main/binary-all/cvs-doc_1.10.7-9_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/cvs_1.10.7-9_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/cvs_1.10.7-9_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/cvs_1.10.7-9_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/cvs_1.10.7-9_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/cvs_1.10.7-9_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/cvs_1.10.7-9_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.