Bulletin d'alerte Debian

DLA-207-1 subversion -- Mise à jour de sécurité pour LTS

Date du rapport :
24 avril 2015
Paquets concernés :
subversion
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 704940, Bogue 737815.
Dans le dictionnaire CVE du Mitre : CVE-2013-1845, CVE-2013-1846, CVE-2013-1847, CVE-2013-1849, CVE-2014-0032, CVE-2015-0248, CVE-2015-0251.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Subversion, un système de gestion de versions. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2015-0248

    mod_dav_svn et svnserve de Subversion étaient sensibles à une vulnérabilité de déni de service d'assertion déclenché à distance pour certaines requêtes avec des numéros de révision évalués dynamiquement.

  • CVE-2015-0251

    Les serveurs HTTP de Subversion permettent l'usurpation des valeurs de la propriété svn:author pour de nouvelles révisions à travers des séquences de requêtes de protocole HTTP v1 contrefaites pour l'occasion.

  • CVE-2013-1845

    mod_dav_svn de Subversion était vulnérable à une attaque par déni de service au travers d'un épuisement de mémoire déclenché à distance.

  • CVE-2013-1846 / CVE-2013-1847 / CVE-2013-1849 / CVE-2014-0032

    mod_dav_svn de Subversion était vulnérable à de multiples plantages déclenchés à distance.

Cette mise à jour a été préparée par James McCoy.