Hoppa över navigering

• Om Debian
• Nyheter
• Få tag på Debian
• Support
• Utvecklarhörnet
• Sidöversikt
• Sök

Säkerhetsbulletin från Debian

DSA-422-1 cvs -- fjärrsårbarhet

Rapporterat den:

2004-01-13

Berörda paket:

cvs

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.

Ytterligare information:

Kontohanteringen i CVS-pserver (vilket används för att ge användare utifrån tillgång till cvs-arkiv) använder filen CVSROOT/passwd i cvs-arkivet till att lista konton och deras autentiseringsinformation, såväl som namnet på det lokala Unixkonto som används för pserverkontot. Eftersom CVS inte utförde någon kontroll av vilket Unixkonto som angavs kunde alla med möjlighet att ändra CVSROOT/passwd få tillgång till alla lokala användare på cvs-servern, inklusive root.

Detta har rättats i uppströmsversion 1.11.11 genom att förhindra pserver från att köra som root. För Debian har problemet lösts i version 1.11.1p1debian-9 på två olika sätt:

• pserver kan inte längre använda root för att nå arkiv.
• en ny fil /etc/cvs-repouid kan användas av systemadministratören för att välja ett annat Unixkonto att använda för att nå arkivet. Ytterligare information om denna ändring finns på http://www.wiggy.net/code/cvs-repouid/

Dessutom hade CVS-pserver ett fel i tolkningen av modulförfrågningar, vilket kunde användas för att skapa filer och kataloger utanför ett arkiv. Detta har rättats uppströms i version 1.11.11 och i Debianversion 1.11.1p1debian-9.

Slutligen har umask ändrats för ”cvs init” och ”cvs-makerepos” för att förhindra att arkiv skapas med skrivbehörighet för gruppen.

Rättat i:

Debian GNU/Linux 3.0 (stable)

Källkod:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc

Alpha:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb

ARM:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb

HP Precision:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb

Intel IA-32:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb

Intel IA-64:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb

Motorola 680x0:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb

Big-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb

Little-endian MIPS:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb

PowerPC:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb

IBM S/390:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb

Sun Sparc:

http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.

Denna sida finns även på följande språk:

dansk Deutsch English español français 日本語 (Nihongo) polski Русский (Russkij)

Så ställer du in standardspråkval för dokument