Aviso de seguridad de Debian

DSA-715-1 cvs -- varias vulnerabilidades

Fecha del informe:
27 de abr de 2005
Paquetes afectados:
cvs
Vulnerable:
Referencias a bases de datos de seguridad:
En el sistema de seguimiento de errores de Debian: error 260200.
En el diccionario CVE de Mitre: CVE-2004-1342, CVE-2004-1343.
Notas y avisos de incidentes y vulnerabilidades en CERT: VU#327037.
Información adicional:

Se han descubierto varios problemas en el servidor CVS, del conocido sistema concurrente de versiones. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

  • CAN-2004-1342

    Maks Polunin y Alberto García descubrieron por separado que usar el método de acceso pserver junto con el parche «repouid» que usa Debian permitía eludir la contraseña y obtener acceso al repositorio en cuestión.

  • CAN-2004-1343

    Alberto García descubrió que un usuario remoto podía provocar que el servidor cvs cayese cuando existiera el archivo «cvs-repouids» y no contuviese un mapeo para el repositorio actual, lo que se podía usar para un ataque de denegación de servicio.

Para la distribución estable (woody), estos problemas se han corregido en la versión 1.11.1p1debian-10.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 1.12.9-11.

Le recomendamos que actualice el paquete cvs.

Arreglado en:

Debian GNU/Linux 3.0 (woody)

Fuentes:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10.dsc
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10.diff.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
Alpha:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_arm.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_ia64.deb
HPPA:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_hppa.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_m68k.deb
Big endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_mips.deb
Little endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-10_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.