Bulletin d'alerte Debian

DSA-2215-1 gitolite -- Traversée de répertoires

Date du rapport :
9 avril 2011
Paquets concernés :
gitolite
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
Plus de précisions :

Dylan Simon a découvert que gitolite, un gardien basé sur SSH pour les dépôts Git, est prédisposé aux attaques par traversée de répertoires lors de la restriction des commandes définies pour l'administration (ADC). Cela permet a un attaquant d'exécuter des commandes arbitraires avec les droits du serveur gitolite à l'aide de noms de commande contrefaits.

Veuillez remarquer que cela ne concerne que les installations avec ADC activé (ce n'est pas par défaut dans Debian).

La distribution oldstable (Lenny) n'est pas concernée par ce problème, elle ne contient pas gitolite.

Pour la distribution stable (Squeeze), ce problème a été corrigé dans la version 1.5.4-2+squeeze1.

Pour la distribution testing (Wheezy), ce problème a été corrigé dans la version 1.5.7-2.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.5.7-2.

Nous vous recommandons de mettre à jour vos paquets gitolite.