Debian セキュリティ勧告

DSA-117-1 cvs -- 不適切な変数の初期化

報告日時:

2002-03-05

影響を受けるパッケージ:

cvs

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2002-0092.

詳細:

Kim Nielsen さんが最近 CVS サーバの内部の問題を発見して vuln-dev メーリングリストに報告しました。問題は、不適切に初期化された大域変数を引き金として起こります。これを攻撃することでユーザは CVS サーバをクラッシュさせることができます。また、この攻撃はリモートユーザ ID から pserver 経由でも可能です。ただし、この攻撃でリモートアカウントを得ることができるかどうかは現在分かっていません。

この問題は、安定版 (stable) の Debian ディストリビューションではバージョン 1.10.7-9 で、テスト版 (testing) / 不安定版 (unstable) のディストリビューションでは、バージョン 1.11.1p1debian-3 以降で (まだアップロードされていませんが) 修正されています。

cvs パッケージを直ぐにアップグレードすることを勧めます。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:: http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.dsc; http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz; http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7.orig.tar.gz
アーキテクチャ非依存コンポーネント:: http://security.debian.org/dists/stable/updates/main/binary-all/cvs-doc_1.10.7-9_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/cvs_1.10.7-9_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/cvs_1.10.7-9_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/cvs_1.10.7-9_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/cvs_1.10.7-9_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/cvs_1.10.7-9_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/cvs_1.10.7-9_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。