Alerta de Segurança Debian

DSA-117-1 cvs -- inicialização incorreta de variável

Data do Alerta:
05 Mar 2002
Pacotes Afetados:
cvs
Vulnerável:
Sim
Referência à base de dados de segurança:
No dicionário CVE do Mitre: CVE-2002-0092.
Informações adicionais:

Kim Nielsen encontrou recentemente um problema interno no servidor CVS e relatou isto à lista vuln-dev. O problema começa devido a uma inicialização incorreta de uma variável global. Explorando isso, um usuário pode derrubar o servidor CVS, que pode ser acessado pelo serviço pserver e ser executado por um id de usuário remoto. Não está claro ainda se a conta remota pode ser exposta.

Este problema foi corrigido na versão 1.10.7-9 da distribuição estável do Debian com a ajuda de Niels Heinen e em versões mais novas do que 1.11.1p1debian-3 para as distribuições testing e unstable (não enviado ainda).

Nós recomendamos que você atualize seu pacote CVS.

Corrigido em:

Debian GNU/Linux 2.2 (potato)

Fonte:
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.dsc
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7.orig.tar.gz
Componente independente de arquitetura:
http://security.debian.org/dists/stable/updates/main/binary-all/cvs-doc_1.10.7-9_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/cvs_1.10.7-9_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/cvs_1.10.7-9_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/cvs_1.10.7-9_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/cvs_1.10.7-9_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/cvs_1.10.7-9_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/cvs_1.10.7-9_sparc.deb

Checksums MD5 dos arquivos listados estão disponíveis no alerta original.