Debians sikkerhedsbulletin

DSA-605-1 viewcvs -- indstilinger anvendes ikke

Rapporteret den:
6. dec 2004
Berørte pakker:
viewcvs
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2004-0915.
Yderligere oplysninger:

Haris Sehic har opdaget flere sårbarheder i viewcvs, et værktøj til visning af CVS- og Subversion-arkiver via HTTP. Ved eksport af et arkiv som en tar-arkivfil, blev indstillingerne hide_cvsroot og forbidden ikke anvendt i tilstrækkelig grad.

Når pakkerne opgraderes i woody, skal man forinden tage en kopi af sin /etc/viewcvs/viewcvs.conf-fil, hvis man manuelt har rettet i den. Ved opgraderingen kan debconf-mekanismen måske ændre filen på en måde, så viewcvs ikke længere kan forstå den.

I den stabile distribution (woody) er disse problemer rettet i version 0.9.2-4woody1.

I den ustabile distribution (sid) er disse problemer rettet i version 0.9.2+cvs.1.0.dev.2004.07.28-1.2.

Vi anbefaler at du opgraderer din viewcvs-pakke.

Rettet i:

Debian GNU/Linux 3.0 (woody)

Kildekode:
http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.dsc
http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.diff.gz
http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.