Aviso de seguridad de Debian
DSA-117-1 cvs -- incialización impropia de variable
- Fecha del informe:
- 5 de mar de 2002
- Paquetes afectados:
- cvs
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2002-0092.
- Información adicional:
-
Kim Nielsen encontró recientemente un problema interno con el servidor CVS e informó de ello a la lista vuln-dev. El problema se dispara por una variable global mal iniciada. Un usuario que explote esto puede hacer caer el servidor CVS, que puede ser accedido mediante el servicio pserver y ejecutado bajo un id de usuario remoto. Aún no está claro si la cuenta remota puede ser expuesta.
Este problema ha sido arreglado en la versión 1.10.7-9 para la distribución estable de Debian con la ayuda de Niels Heinen y en versiones más recientes que la 1.11.1p1debian-3 para las distribuciones testing e inestable de Debian (aún no subido, parece ser).
Recomendamos que actualice su paquete CVS.
- Arreglado en:
-
Debian GNU/Linux 2.2 (potato)
- Fuentes:
- http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.dsc
- http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/dists/stable/updates/main/binary-all/cvs-doc_1.10.7-9_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/cvs_1.10.7-9_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/cvs_1.10.7-9_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/cvs_1.10.7-9_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/cvs_1.10.7-9_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/cvs_1.10.7-9_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/cvs_1.10.7-9_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.