Рекомендация Debian по безопасности

DSA-3561-1 subversion -- обновление безопасности

Дата сообщения:
29.04.2016
Затронутые пакеты:
subversion
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-2167, CVE-2016-2168.
Более подробная информация:

В Subversion, системе управления версиями, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2016-2167

    Дэниель Шахаф и Джеймс Маккой обнаружили, что ошибка реализации в коде аутентификации с использованием библиотеки Cyrus SASL может позволить удалённому пользователю определить строку поименованной области, являющуюся префиксом ожидаемой строки поименованной области, и потенциально позволяет пользователю выполнять аутентификацию с использованием неправильной поименованной области.

  • CVE-2016-2168

    Иван Жаков из VisualSVN обнаружил удалённо вызываемый отказ в обслуживании в модуле mod_authz_svn при проверке авторизации COPY или MOVE. Аутентифицированный удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании (аварийная остановка сервера Subversion) через запросы COPY или MOVE со специально сформированными заголовками.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.8.10-6+deb8u4.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.9.4-1.

Рекомендуется обновить пакеты subversion.