Debian-Sicherheitsankündigung

DSA-233-1 cvs -- Doppelt freigegebener Speicher

Datum des Berichts:
21. Jan 2003
Betroffene Pakete:
cvs
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2003-0015.
CERTs Verwundbarkeiten, Hinweise und Ereignis-Notizen: CA-2003-02, VU#650937.
Weitere Informationen:

Stefan Esser entdeckte ein Problem in cvs, einem simultanen Versionssystem, das von vielen Freien Software Projekten verwendet wird. Die aktuelle Version enthält eine Schwäche, die von einem entfernten Angreifer ausgenutzt werden kann, um willkürlichen Code auf dem CVS-Server mit der Kennung auszuführen, als die der CVS-Server läuft. Anonymer reiner Lese-Zugriff ist ausreichend, um dieses Problem auszunutzen.

Für die stable Distribution (Woody) wurde dieses Problem in Version 1.11.1p1debian-8.1 behoben.

Für die alte stable Distribution (Potato) wurde dieses Problem in Version 1.10.7-9.2 behoben.

Für die unstable Distribution (Sid) wird dieses Problem bald behoben.

Wir empfehlen Ihnen, Ihr cvs-Paket unverzüglich zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2.dsc
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2.diff.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/c/cvs/cvs-doc_1.10.7-9.2_all.deb
Alpha:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2_i386.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2_m68k.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2_powerpc.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2_sparc.deb

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1.dsc
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1.diff.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.