Säkerhetsbulletin från Debian

DSA-117-1 cvs -- felaktigt initierad variabel

Rapporterat den:

2002-03-05

Berörda paket:

cvs

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2002-0092.

Ytterligare information:

Kim Nielsen upptäckte nyligen ett internt problem med CVS-servern och rapporterade det till sändlistan vuln-dev. Problemet uppstår på grund av en felaktigt initierad global variabel. En användare som utnyttjar detta kan krascha CVS-servern, vilken kan nås via pserver-tjänsten och köras under ett externt användar-id. Det är dock ännu inte klargjort om det externa kontot kan vara i farozonen.

Detta problem har rättats i version 1.10.7-9 för den stabila versionen av Debianutgåvan med hjälp av Niels Heinen och i versioner nyare än 1.11.1p1debian-3 för uttestnings- och den instabila utgåvan av Debian (ännu ej insänd, dock).

Vi rekommenderar att ni uppgraderar ert CVS-paket.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:: http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.dsc; http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz; http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7.orig.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/dists/stable/updates/main/binary-all/cvs-doc_1.10.7-9_all.deb
Alpha:: http://security.debian.org/dists/stable/updates/main/binary-alpha/cvs_1.10.7-9_alpha.deb
ARM:: http://security.debian.org/dists/stable/updates/main/binary-arm/cvs_1.10.7-9_arm.deb
Intel ia32:: http://security.debian.org/dists/stable/updates/main/binary-i386/cvs_1.10.7-9_i386.deb
Motorola 680x0:: http://security.debian.org/dists/stable/updates/main/binary-m68k/cvs_1.10.7-9_m68k.deb
PowerPC:: http://security.debian.org/dists/stable/updates/main/binary-powerpc/cvs_1.10.7-9_powerpc.deb
Sun Sparc:: http://security.debian.org/dists/stable/updates/main/binary-sparc/cvs_1.10.7-9_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.