Sauter le menu

• À propos de Debian
• Actualités
• Obtenir Debian
• Assistance
• Le coin du développeur
• Plan du site
• Recherche

Bulletin d'alerte Debian

DSA-422-1 cvs -- Vulnérabilité à distance

Date du rapport:

13 janvier 2004

Paquets concernés:

cvs

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.

Pour plus d'information:

Le système de gestion des comptes du pserveur CVS (qui est utilisé pour donner à des utilisateurs distants accès aux entrepôts CVS) utilise un fichier CVSROOT/passwd dans chaque entrepôt, contenant les comptes et leurs informations d'authentification, ainsi que le nom du compte Unix local à utiliser lors de l'utilisation d'un compte pserveur. Comme CVS ne vérifiait pas quel compte Unix était spécifié, toute personne à même de modifier CVSROOT/passwd pouvait obtenir un accès à tous les utilisateurs locaux du serveur CVS, y compris le superutilisateur.

Ce problème a été corrigé dans la version amont 1.11.11 en empêchant le pserveur de tourner en tant que superutilisateur. Pour Debian, ce problème a été corrigé dans la version 1.11.1p1debian-9 de deux façons différentes :

• pserveur ne peut plus utiliser le compte du superutilisateur pour accéder aux entrepôts ;
• un nouveau fichier, /etc/cvs-repouid, a été introduit. Il peut être utilisé par l'administrateur du système pour forcer le compte Unix à utiliser lors de l'accès à l'entrepôt. Des informations complémentaires sur cette modification peuvent être trouvées à l'adresse http://www.wiggy.net/code/cvs-repouid/

De plus, le pserveur CVS avait un bogue dans la lecture des requêtes sur des modules, qui pouvait être utilisé pour créer des fichiers et des répertoires à l'extérieur d'un entrepôt. Ce problème a été corrigé dans la version amont 1.11.11 et dans la version 1.11.1p1debian-9 pour Debian.

Enfin, le masque utilisé pour « cvs init » et « cvs-makerepos » a été modifié afin que les entrepôts ne soient pas créés avec des permissions d'écriture pour le groupe.

Corrigé dans:

Debian GNU/Linux 3.0 (stable)

Source :

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc

Alpha:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb

HP Precision:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb

Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.

Cette page est aussi disponible dans les langues suivantes :

dansk Deutsch English español 日本語 (Nihongo) polski Русский (Russkij) svenska

Comment configurer la langue par défaut du document