Рекомендация Debian по безопасности

DSA-3932-1 subversion -- обновление безопасности

Дата сообщения:
10.08.2017
Затронутые пакеты:
subversion
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2016-8734, CVE-2017-9800.
Более подробная информация:

В Subversion, централизованной системе управления версиями, было обнаружено несколько проблем.

  • CVE-2016-8734

    (только jessie)

    Серверный модуль Subversion, mod_dontdothat, и клиенты Subversion, использующие http(s)://, уязвимы к отказу в обслуживании, вызываемому экспоненциальным раскрытием сущностей XML.

  • CVE-2017-9800

    Йорн Шнивайц обнаружил, что Subversion неправильно обрабатывает специально сформированные URL вида svn+ssh://. Это позволяет злоумышленнику запустить произвольные команды командной оболочки, например, с помощью свойств svn:externals или при использовании svnsync sync.

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.8.10-6+deb8u5.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 1.9.5-1+deb9u1.

Рекомендуется обновить пакеты subversion.