Kim Nielsen encontró recientemente un problema interno con el servidor CVS e informó de ello a la lista vuln-dev. El problema se dispara por una variable global mal iniciada. Un usuario que explote esto puede hacer caer el servidor CVS, que puede ser accedido mediante el servicio pserver y ejecutado bajo un id de usuario remoto. Aún no está claro si la cuenta remota puede ser expuesta.
Este problema ha sido arreglado en la versión 1.10.7-9 para la distribución estable de Debian con la ayuda de Niels Heinen y en versiones más recientes que la 1.11.1p1debian-3 para las distribuciones testing e inestable de Debian (aún no subido, parece ser).
Recomendamos que actualice su paquete CVS.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.