Spring navigering over

• Om Debian
• Nyheder
• Få fat i Debian
• Support
• Udviklerhjørnet
• Sideoversigt
• Søg

Debians sikkerhedsbulletin

DSA-422-1 cvs -- fjern-sårbarhed

Rapporteret den:

13. jan 2004

Berørte pakker:

cvs

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.

Yderligere oplysninger:

Kontohåndteringen i CVS' pserver (som anvendes til at give fjernadgang til CVS-arkiver) anvender en CVSROOT/passwd fil i hvert arkiv, indeholdende kontoer og deres autentifikationsoplysninger foruden navnet på den lokale unix-konto der skal anvendes når en pserver-konto anvendes. Da CVS ikke foretog af hvilken unix-konto der var angivet, kunne alle med angang til at ændre CVSROOT/passwd opnå adgang til alle lokale brugere på CVS-serveren, deriblandt root.

Dette er rettet i opstrømsversion 1.11.11 ved at forhindre pserver i at køre som root. I Debian er dette problem rettet i version 1.11.1p1debian-9 på to forskellige måder:

• pserver har ikke længere lov til at anvende root for at tilgå arkiverne
• En ny /etc/cvs-repouid er indført og kan anvendes af systemadministratoren til at overtrumfe den unix-konto som anvendes til at tilgå et arkiv. Flere oplysninger om denne ændring findes på http://www.wiggy.net/code/cvs-repouid/.

Desuden havde CVS' pserver en fejl i fortolkningen af modulforespørgsler, hvilket kunne anvendes til at oprette filer og mapper udenfor arkivet. Dette er rettet i opstrøms version 1.11.11 og Debians version 1.11.1p1debian-9.

Slutteligt er den umask som anvendes til “cvs init” og “cvs-makerepos” ændret for at forhindre arkiver i at blive oprettet med gruppe-skriverettigheder.

Rettet i:

Debian GNU/Linux 3.0 (stable)

Kildekode:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc

Alpha:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb

HP Precision:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.

Denne side findes også på følgende sprog:

Deutsch English español français 日本語 (Nihongo) polski Русский (Russkij) svenska

Sådan opsætter du standardsprogvalg for dokumenter