Schnellnavigation überspringen

• Über Debian
• Nachrichten
• Debian besorgen
• Unterstützung
• Entwickler-Ecke
• Sitemap
• Suche

Debian-Sicherheitsankündigung

DSA-422-1 cvs -- Entfernte Verwundbarkeit

Datum des Berichts:

13. Jan 2004

Betroffene Pakete:

cvs

Verwundbar:

Ja

Sicherheitsdatenbanken-Referenzen:

Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.

Weitere Informationen:

Die Kontenverwaltung des pservers von CVS (der entfernten Zugriff auf CVS-Depots ermöglicht) verwendet die Datei CVSROOT/passwd aus jedem Depot, das die Konten- und Authentifizierungsinformationen sowie den Namen des lokal verwendeten Unix-Kontos enthält, das für das pserver-Konto verwendet wird. Da CVS keine Prüfung durchführt, welches Unix-Konto angegeben ist, könnte jeder, der CVSROOT/passwd ändern kann, Zugriff auf alle lokalen Benutzer auf dem CVS-Server erhalten, inklusive root.

Dies wurde in der Upstream-Version 1.11.11 geändert, indem es unterbunden wurde, dass pserver als root läuft. Für Debian wurde dieses Problem in Version 1.11.1p1debian-9 auf zwei Arten gelöst:

• pserver ist es nicht mehr erlaubt, root zu verwenden, um auf Depots zuzugreifen.
• Eine neue Datei /etc/cvs-repouid wurde eingeführt, die vom Systemadministrator verwendet werden kann, um das Unix-Konto festzuschreiben, mit dem auf das Depot zugegriffen wird. Weitere Informationen über diese Änderung sind unter http://www.wiggy.net/code/cvs-repouid/ zu finden.

Zusätzlich hatte CVS-pserver einen Fehler in der Verarbeitung von Modul-Anfragen, der verwendet werden könnte, um Dateien und Verzeichnisse außerhalb eines Depots zu erstellen. Dies wurde Upstream in Version 1.11.11 und in der Debian-Version 1.11.1p1debian-9 behoben.

Zu guter Letzt wurde die umask geändert, die für »cvs init« und »cvs-makerepos« verwendet wurde, um zu verhindern, dass Depots mit Gruppenschreibrechten erstellt werden.

Behoben in:

Debian GNU/Linux 3.0 (stable)

Quellcode:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc

Alpha:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb

HP Precision:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

Diese Seite gibt es auch in den folgenden Sprachen:

dansk English español français 日本語 (Nihongo) polski Русский (Russkij) svenska

Wie stellt man die Standardsprache ein