Säkerhetsbulletin från Debian

DSA-3940-1 cvs -- säkerhetsuppdatering

Rapporterat den:
2017-08-13
Berörda paket:
cvs
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 871810.
I Mitres CVE-förteckning: CVE-2017-12836.
Ytterligare information:

Man har upptäckt att CVS, ett centraliserat versionshanteringssystem, inte hanterar illasinnat skapade förråds-URLer korrekt, vilket kunde tillåta en angripare att köra ett godtyckligt skalkommando.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 2:1.12.13+real-15+deb8u1.

För den stabila utgåvan (Stretch) har detta problem rättats i version 2:1.12.13+real-22+deb9u1.

Vi rekommenderar att ni uppgraderar era cvs-paket.