Bulletin d'alerte Debian

DLA-136-1 websvn -- Mise à jour de sécurité pour LTS

Date du rapport :
24 janvier 2015
Paquets concernés :
websvn
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 775682.
Dans le dictionnaire CVE du Mitre : CVE-2013-6892.
Plus de précisions :

James Clawson a découvert que websvn, un outil pour visualiser les répertoires Subversion sur le web, suivait les liens symboliques dans un répertoire quand il présente des fichiers à télécharger. Un attaquant qui a accès en écriture au répertoire pourrait ainsi accéder à tout fichier présent sur le disque lisible par l'utilisateur qui utilise le serveur web.

Pour Debian 6 Squeeze, ces problèmes ont été corrigés dans la version 2.3.3-1+deb6u1 de websvn.