Omitir navegación rápida

• Acerca de Debian
• Noticias
• Cómo obtener Debian
• Soporte
• Rincón de los desarrolladores
• Mapa del sitio
• Búsqueda

Aviso de seguridad de Debian

DSA-422-1 cvs -- vulnerabilidad remota

Fecha del informe:

13 de ene de 2004

Paquetes afectados:

cvs

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.

Información adicional:

La gestión remota del servidor «pserver» del CVS (que se usa para dar acceso a los almacenes CVS remotos) usa un archivo CVSROOT/passwd en cada almacén, que tiene las cuentas e información de la identificación así como el nombre de la cuenta local unix correspondiente a la de pserver. Como CVS no realizaba comprobaciones sobre qué cuenta unix se especificaba, cualquiera que pudiera modificar CVSROOT/passwd podría obtener acceso a todos los usuarios locales del servidor CVS, incluyendo root.

Esta incidencia se ha corregido en la versión original 1.11.11, evitando que pserver corra como root. Para Debian, este problema se ha soluciado en la versión 1.11.1p1debian-9 de dos formas diferentes:

• a pserver no se le permite usar root para acceder a los almacenes
• se introduce un nuevo archivo /etc/cvs-repouid; el administrador del sistema lo puede usar para indicar que se use ésta en lugar de la cuenta unix para acceder a un almacén. Se puede encontrar más información sobre este cambio en http://www.wiggy.net/code/cvs-repouid/

Además, el servidor «pserver» CVS tenía un error en las peticiones de análisis de peticiones de módulos, que se podría usar para crear archivos y directorios fuera del almacén. Esto se ha corregido en la versión original 1.11.11 y en la versión de Debian 1.11.1p1debian-9.

Por último, la máscara «umask» que se usaba en “cvs init” y “cvs-makerepos” se ha cambiado para evitar que se creen almacenes con permisos de escritura para el grupo.

Arreglado en:

Debian GNU/Linux 3.0 (stable)

Fuentes:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc

Alpha:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb

HP Precision:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.

Esta página también está disponible en los siguientes idiomas:

dansk Deutsch English français 日本語 (Nihongo) polski Русский (Russkij) svenska

Cómo modificar el idioma por defecto de los documentos