Aviso de seguridad de Debian

DSA-233-1 cvs -- memoria liberada doblemente

Fecha del informe:

21 de ene de 2003

Paquetes afectados:

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2003-0015.
Notas y avisos de incidentes y vulnerabilidades en CERT: CA-2003-02, VU#650937.

Información adicional:

Stefan Esser descubrió un problema en cvs, un sistema de versiones concurrentes que se usa en muchos proyectos de software libre. La versión actual contenía una debilidad que podía usar un atacante remoto para ejecutar código arbitrario en el servidor de CVS bajo el id de usuario con el que ejecuta el servidor CVS. El acceso anónimo de sólo lectura era suficiente para explotar este problema.

Para la distribución estable (woody), este problema se ha corregido en la versión 1.11.1p1debian-8.1.

Para la distribución estable anterior (potato), este problema se ha corregido en la versión 1.10.7-9.2.

Para la distribución inestable (sid), este problema se corregirá pronto.

Le recomendamos que actualice el paquete cvs inmediatamente.

Arreglado en:

Debian GNU/Linux 2.2 (potato)

Fuentes:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2.dsc; http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2.diff.gz; http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/c/cvs/cvs-doc_1.10.7-9.2_all.deb
Alpha:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2_i386.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2_m68k.deb
PowerPC:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2_powerpc.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.10.7-9.2_sparc.deb

Debian GNU/Linux 3.0 (woody)

Fuentes:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1.dsc; http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1.diff.gz; http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
Alpha:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_alpha.deb
ARM:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_arm.deb
Intel IA-32:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_i386.deb
Intel IA-64:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_ia64.deb
HPPA:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_hppa.deb
Motorola 680x0:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_m68k.deb
Big endian MIPS:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_mips.deb
Little endian MIPS:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_mipsel.deb
PowerPC:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_powerpc.deb
IBM S/390:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_s390.deb
Sun Sparc:: http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-8.1_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.