Пропустить QuickNav

• О Debian
• Новости
• Где взять Debian
• Поддержка
• Уголок разработчика
• Карта сайта
• Поиск

Рекомендация Debian по безопасности

DSA-422-1 cvs -- удалённая уязвимость

Дата сообщения:

13.01.2004

Затронутые пакеты:

cvs

Уязвим:

Да

Ссылки на базы данных по безопасности:

На данный момент ссылки на внешние базы данных по безопасности отсутствуют.

Более подробная информация:

Система управления учётными записями сервера pserver CVS (используемого для удалённого доступа к репозиториям CVS) использует файл CVSROOT/passwd репозитория, содержащий учётные записи и информацию для авторизации, а также имя локальной учётной записи unix, задействуемой при использовании учётной записи pserver. Поскольку CVS не производит проверку того, какая учётная запись unix задана, любой, кто может изменять содержимое файла CVSROOT/passwd, может получить доступ ко всем локальным пользователям сервера CVS, включая пользователя root.

Это исправлено автором в версии 1.11.11 путём запрета запуска pserver от имени пользователя root. В Debian проблема решена в версии 1.11.1p1debian-9 двумя различными способами:

• pserver больше не может использовать учётную запись root для доступа к репозиториями
• создан новый файл /etc/cvs-repouid, который может использоваться системным администратором для изменения учётной записи unix, используемой для доступа к репозиторию. Более подробную информацию об этом новшестве можно найти по адресу http://www.wiggy.net/code/cvs-repouid/

Кроме того, сервер pserver CVS содержит ошибку в коде разбора запросов модулей, которая может быть использована для создания файлов и каталогов за пределами репозитория. Это исправлено авторами исходного кода в версии 1.11.11, а в пакете Debian — в версии 1.11.1p1debian-9.

Наконец, изменена маска umask, используемая при выполнении команд “cvs init” и “cvs-makerepos”. Теперь запрещено создание репозиториев с правами записи группы.

Исправлено в:

Debian GNU/Linux 3.0 (stable)

Исходный код:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc

Alpha:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb

HP Precision:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.

Эта страница также доступна на следующих языках:

dansk Deutsch English español français 日本語 (Nihongo) polski svenska

Как установить язык по умолчанию