Debian セキュリティ勧告
DSA-117-1 cvs -- 不適切な変数の初期化
- 報告日時:
- 2002-03-05
- 影響を受けるパッケージ:
- cvs
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2002-0092.
- 詳細:
-
Kim Nielsen さんが最近 CVS サーバの内部の問題を発見して vuln-dev メーリングリストに報告しました。 問題は、不適切に初期化された大域変数を引き金として起こります。 これを攻撃することでユーザは CVS サーバをクラッシュさせることができます。 また、この攻撃はリモートユーザ ID から pserver 経由でも可能です。 ただし、この攻撃でリモートアカウントを得ることができるか どうかは現在分かっていません。
この問題は、安定版 (stable) の Debian ディストリビューションではバージョン 1.10.7-9 で、テスト版 (testing) / 不安定版 (unstable) のディストリビューションでは、バージョン 1.11.1p1debian-3 以降で (まだアップロードされていませんが) 修正されています。
cvs パッケージを直ぐにアップグレードすることを勧めます。
- 修正:
-
Debian GNU/Linux 2.2 (potato)
- ソース:
- http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.dsc
- http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz
- http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7.orig.tar.gz
- http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/dists/stable/updates/main/binary-all/cvs-doc_1.10.7-9_all.deb
- Alpha:
- http://security.debian.org/dists/stable/updates/main/binary-alpha/cvs_1.10.7-9_alpha.deb
- ARM:
- http://security.debian.org/dists/stable/updates/main/binary-arm/cvs_1.10.7-9_arm.deb
- Intel ia32:
- http://security.debian.org/dists/stable/updates/main/binary-i386/cvs_1.10.7-9_i386.deb
- Motorola 680x0:
- http://security.debian.org/dists/stable/updates/main/binary-m68k/cvs_1.10.7-9_m68k.deb
- PowerPC:
- http://security.debian.org/dists/stable/updates/main/binary-powerpc/cvs_1.10.7-9_powerpc.deb
- Sun Sparc:
- http://security.debian.org/dists/stable/updates/main/binary-sparc/cvs_1.10.7-9_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。