CVS pserver のアカウントマネージメント (CVS リポジトリに対してリモートからアクセスする際に用います) は CVSROOT/passwd ファイルを各リポジトリで用います。 このファイルには、アカウントと認証情報以外に、その pserver アカウントを用いる際に使うローカルの unix アカウント名も書かれています。CVS では、どの unix アカウントを用いるかについてチェックを行っていないため、 CVSROOT/passwd を変更することができる人は誰でも、CVS サーバの (root を含む) 任意のローカルユーザの権限を得ることができてしまいます。
これは上流のバージョン 1.11.11 で、pserver を root で実行しないようにすることで修正されています。Debian では、この問題はバージョン 1.11.1p1debian-9 で以下の 2 つの対策を用いて修正されています。
また、CVS pserver にはモジュールリクエストの解析にバグがあり、 リポジトリ外にファイルやディレクトリを作成することが可能でした。 これも上流の 1.11.11 と Debian のバージョン 1.11.1p1debian-9 で修正されています。
最後に、「cvs init」と「cvs-makerepos」で用いる umask の値が変更され、 リポジトリ作成の際にグループ書き込み属性が与えられないように変更されました。
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。