Bulletin d'alerte Debian

DSA-3561-1 subversion -- Mise à jour de sécurité

Date du rapport :
29 avril 2016
Paquets concernés :
subversion
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2016-2167, CVE-2016-2168.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Subversion, un système de contrôle de version. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2016-2167

    Daniel Shahaf et James McCoy ont découvert qu'une erreur d'implémentation dans l'authentification avec la bibliothèque Cyrus SASL pourrait permettre à un utilisateur distant d'indiquer une chaîne de domaine qui est un préfixe de la chaîne de domaine attendue et permettre éventuellement à un utilisateur une identification avec le mauvais domaine.

  • CVE-2016-2168

    Ivan Zhakov de VisualSVN a découvert une vulnérabilité de déni de service déclenchable à distance dans le module mod_authz_svn durant une vérification d'autorisation de COPY ou de MOVE. Un attaquant distant authentifié pourrait tirer avantage de ce défaut pour provoquer un déni de service (plantage du serveur Subversion) grâce à des requêtes COPY ou MOVE avec un en-tête contrefait pour l'occasion.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.8.10-6+deb8u4.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.4-1.

Nous vous recommandons de mettre à jour vos paquets subversion.