Pomiń szybką nawigację

• O Debianie
• Wiadomości
• Jak zdobyć Debiana
• Pomoc
• Kącik deweloperów
• Mapa serwisu
• Wyszukiwanie

Porada dotycząca bezpieczeństwa Debiana

DSA-422-1 cvs -- zagrożenie zewnętrzne

Data Zgłoszenia:

13.01.2004

Narażone Pakiety:

cvs

Podatny:

Tak

Odnośniki do baz danych na temat bezpieczeństwa:

Brak dostępnych odnośników do zewnętrznych baz danych na temat bezpieczeństwa.

Więcej informacji:

Zarządca konta (account management) CVS pserver (używany przy przydzielaniu dostępu do repezytorium CVS osobom z zewnątrz) używa pliku CVSROOT/passwd w każdym repezytorium który zawiera konta i ich informacje autentyfikacyjne, a także nazwę lokalnego konta uniksowego używanego przy wykorzystywaniu konta pserver. Ponieważ CVS nie wykonuje sprawdzania jakie zostało wyszczególnione konto uniksowe, każdy kto może modyfikować CVSROOT/passwd może też uzyskać dostęp do wszystkich lokalnych użytkowników na serwerze CVS włącznie z kontem root.

Problem został rozwiązany w zewnętrznej wersji 1.11.11 poprzez uniemożliwenie rootowi na działanie na pserver. W przypadku Debiana problem rozwiązano w wersji 1.11.1p1debian-9 na dwa różne sposoby:

• pserver nie pozwala już na używanie konta root przy dostępie do repezytoriów
• Wprowadzono nowy /etc/cvs-repouid który może być używany przez administratora systemu do przesłonięcia konta uniksowego używanego przy dostępie do repezytorium. Więcej informacji o tej zmianie można uzyskać pod tym adresem: http://www.wiggy.net/code/cvs-repouid/

Dodatkowo CVS pserver miał błąd w module parsowania żądań, który mógł być użyty do stworzenia plików i katalogów poza repezytorium. Zostało to wyeliminowane w zewnętrznej wersji 1.11.11, a w Debianie w wersji 1.11.1p1debian-9.

Na koniec, zmieniono umask używany dla “cvs init” i “cvs-makerepos” aby zabezpieczyć repezytoria przed możliwością stworzenia ich z prawami zapisu grupy.

Naprawiony w:

Debian GNU/Linux 3.0 (stable)

Źródło:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc

Alpha:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb

HP Precision:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.

Ta strona jest również dostępna w następujących językach:

dansk Deutsch English español français 日本語 (Nihongo) Русский (Russkij) svenska

Jak ustawić domyślny język dokumentu