Bulletin d'alerte Debian

DSA-605-1 viewcvs -- Paramètres non respectés

Date du rapport:

6 décembre 2004

Paquets concernés:

viewcvs

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2004-0915.

Pour plus d'information:

Haris Sehic a découvert plusieurs vulnérabilités dans viewcvs, un outil de consultation de dépôts CVS et subversion via HTTP. Lors de l'exportation d'un dépôt vers une archive tar, les paramètres hide_cvsroot et forbidden n'étaient pas suffisamment respectés.

Avant la mise à jour du paquet pour Woody, veuillez copier votre fichier /etc/viewcvs/viewcvs.conf si vous l'avez édité manuellement. Lors de la mise à jour, le mécanisme debconf pourrait le modifier d'une manière telle que viewcvs ne le comprenne plus.

Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.9.2-4woody1.

Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.9.2+cvs.1.0.dev.2004.07.28-1.2.

Nous vous recommandons de mettre à jour votre paquet viewcvs.

Corrigé dans:

Debian GNU/Linux 3.0 (woody)

Source :: http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.dsc; http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.diff.gz; http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2.orig.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1_all.deb

Les hachés MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.