Säkerhetsbulletin från Debian

DSA-3561-1 subversion -- säkerhetsuppdatering

Rapporterat den:
2016-04-29
Berörda paket:
subversion
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2016-2167, CVE-2016-2168.
Ytterligare information:

Flera sårbarheter har upptäckts versionshanteringssystemet Subversion. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2016-2167

    Daniel Shahaf och James McCoy upptäckte att ett implementationsfel i autentiseringen mot Cyrus SASL-biblioteket kunde komma att tillåta en fjärranvändare att specificera en realm-sträng som är ett prefix av den förväntade realm-strängen och potentiellt tillåta en användare att autentisera med hjälp av fel realm.

  • CVE-2016-2168

    Ivan Zhakov från VisualSVN upptäckte en fjärrtriggningsbar överbelastningssårbarhet i modulen mod_authz_svn under COPY- eller MOVE-autentiseringskontrollen. En autentiserad fjärrangripare kunde dra fördel av denna brist för att orsaka en överbelastning (krasch av Subversionservern) via COPY eller MOVE-förfrågningar med speciellt skapade huvuden.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.8.10-6+deb8u4.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.9.4-1.

Vi rekommenderar att ni uppgraderar era subversion-paket.