Debian セキュリティ勧告

DSA-117-1 cvs -- 不適切な変数の初期化

報告日時:
2002-03-05
影響を受けるパッケージ:
cvs
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2002-0092.
詳細:

Kim Nielsen さんが最近 CVS サーバの内部の問題を発見して vuln-dev メーリングリストに報告しました。 問題は、不適切に初期化された大域変数を引き金として起こります。 これを攻撃することでユーザは CVS サーバをクラッシュさせることができます。 また、この攻撃はリモートユーザ ID から pserver 経由でも可能です。 ただし、この攻撃でリモートアカウントを得ることができるか どうかは現在分かっていません。

この問題は、安定版 (stable) の Debian ディストリビューションではバージョン 1.10.7-9 で、テスト版 (testing) / 不安定版 (unstable) のディストリビューションでは、バージョン 1.11.1p1debian-3 以降で (まだアップロードされていませんが) 修正されています。

cvs パッケージを直ぐにアップグレードすることを勧めます。

修正:

Debian GNU/Linux 2.2 (potato)

ソース:
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.dsc
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/dists/stable/updates/main/binary-all/cvs-doc_1.10.7-9_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/cvs_1.10.7-9_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/cvs_1.10.7-9_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/cvs_1.10.7-9_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/cvs_1.10.7-9_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/cvs_1.10.7-9_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/cvs_1.10.7-9_sparc.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。