Bacheca Debian sulla sicurezza

DSA-1725-1 websvn -- errore di programmazione

Data della segnalazione:
15 feb 2009
Pacchetti coinvolti:
websvn
Vulnerabile:
Referenze all'interno del database della sicurezza:
Nel sistema di tracciamento dei bug Debian: Bug 512191.
Nel dizionario CVE di Mitre: CVE-2009-0240.
Maggiori informazioni:

Bas van Schaik ha scoperto che WebSVN, uno strumento per visualizzare archivi Subversion tramite web, non effettuava un controllo corretto delle autorizzazioni su archivi privati, permettendo ad un attaccante remoto di leggere parti significative del loro contenuto.

La vecchia distribuzione stabile (etch) non presenta questo problema.

Per la distribuzione stabile (lenny), il problema è stato risolto con la versione 2.0-4+lenny1.

Per la distributions unstable (sid), il problema è stato risolto con la versione 2.0-4+lenny1.

Si raccomanda di aggiornare il pacchetto websvn.

Risolto in:

Debian GNU/Linux 5.0 (lenny)

Sorgente:
http://security.debian.org/pool/updates/main/w/websvn/websvn_2.0-4+lenny1.diff.gz
http://security.debian.org/pool/updates/main/w/websvn/websvn_2.0-4+lenny1.dsc
http://security.debian.org/pool/updates/main/w/websvn/websvn_2.0.orig.tar.gz
Componente indipendente dall'architettura:
http://security.debian.org/pool/updates/main/w/websvn/websvn_2.0-4+lenny1_all.deb

Somma di controllo MD5 per i file in elenco disponibile nella notizia originale.