Säkerhetsbulletin från Debian

DSA-117-1 cvs -- felaktigt initierad variabel

Rapporterat den:
2002-03-05
Berörda paket:
cvs
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2002-0092.
Ytterligare information:

Kim Nielsen upptäckte nyligen ett internt problem med CVS-servern och rapporterade det till sändlistan vuln-dev. Problemet uppstår på grund av en felaktigt initierad global variabel. En användare som utnyttjar detta kan krascha CVS-servern, vilken kan nås via pserver-tjänsten och köras under ett externt användar-id. Det är dock ännu inte klargjort om det externa kontot kan vara i farozonen.

Detta problem har rättats i version 1.10.7-9 för den stabila versionen av Debianutgåvan med hjälp av Niels Heinen och i versioner nyare än 1.11.1p1debian-3 för uttestnings- och den instabila utgåvan av Debian (ännu ej insänd, dock).

Vi rekommenderar att ni uppgraderar ert CVS-paket.

Rättat i:

Debian GNU/Linux 2.2 (potato)

Källkod:
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.dsc
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7-9.diff.gz
http://security.debian.org/dists/stable/updates/main/source/cvs_1.10.7.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/dists/stable/updates/main/binary-all/cvs-doc_1.10.7-9_all.deb
Alpha:
http://security.debian.org/dists/stable/updates/main/binary-alpha/cvs_1.10.7-9_alpha.deb
ARM:
http://security.debian.org/dists/stable/updates/main/binary-arm/cvs_1.10.7-9_arm.deb
Intel ia32:
http://security.debian.org/dists/stable/updates/main/binary-i386/cvs_1.10.7-9_i386.deb
Motorola 680x0:
http://security.debian.org/dists/stable/updates/main/binary-m68k/cvs_1.10.7-9_m68k.deb
PowerPC:
http://security.debian.org/dists/stable/updates/main/binary-powerpc/cvs_1.10.7-9_powerpc.deb
Sun Sparc:
http://security.debian.org/dists/stable/updates/main/binary-sparc/cvs_1.10.7-9_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.