Aviso de seguridad de Debian

DSA-117-1 cvs -- incialización impropia de variable

Fecha del informe:
5 de mar de 2002
Paquetes afectados:
cvs
Vulnerable:
Referencias a bases de datos de seguridad:
En el diccionario CVE de Mitre: CVE-2002-0092.
Información adicional:

Kim Nielsen encontró recientemente un problema interno con el servidor CVS e informó de ello a la lista vuln-dev. El problema se dispara por una variable global mal iniciada. Un usuario que explote esto puede hacer caer el servidor CVS, que puede ser accedido mediante el servicio pserver y ejecutado bajo un id de usuario remoto. Aún no está claro si la cuenta remota puede ser expuesta.

Este problema ha sido arreglado en la versión 1.10.7-9 para la distribución estable de Debian con la ayuda de Niels Heinen y en versiones más recientes que la 1.11.1p1debian-3 para las distribuciones testing e inestable de Debian (aún no subido, parece ser).

Recomendamos que actualice su paquete CVS.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.dsc
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/dists/stable/updates/main/binary-all/cvs-doc_1.10.7-9_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/cvs_1.10.7-9_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/cvs_1.10.7-9_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/cvs_1.10.7-9_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/cvs_1.10.7-9_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/cvs_1.10.7-9_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/cvs_1.10.7-9_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.