Debian-Sicherheitsankündigung
cvsweb -- Unautorisierte entfernte Code-Ausführung
- Datum des Berichts:
- 16. Jul 2000
- Betroffene Pakete:
- cvsweb
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- In Mitres CVE-Verzeichnis: CVE-2000-0670.
- Weitere Informationen:
- Die Versionen von cvsweb in Debian GNU/Linux 2.1 (auch
Slink genannt) wie auch in den frozen (Potato) und unstable (Woody)
Distributionen sind für eine entfernte Shell-Ausbeutung anfällig. Ein
Angreifer mit Schreibzugriff auf das CVS-Depot kann beliebigen Code auf
dem Server als der www-data Benutzer ausführen.
Die Verwundbarkeit ist in Version 109 von cvsweb für das aktuelle stable-Release (Debian GNU/Linux 2.1), in Version 1.79-3potato1 für die frozen-Distribution und in Version 1.86-1 für die unstable-Distribution behoben.
- Behoben in:
-
Debian GNU/Linux 2.1 (slink):
- Quellcode:
- http://security.debian.org/dists/slink/updates/source/cvsweb_109.dsc
- http://security.debian.org/dists/slink/updates/source/cvsweb_109.tar.gz
- Architektur-unabhängige Dateien:
- http://security.debian.org/dists/slink/updates/binary-all/cvsweb_109_all.deb
Debian GNU/Linux 2.2 (potato):
- Quellcode:
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.diff.gz
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79.orig.tar.gz
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc
- Architektur-unabhängige Dateien:
- http://http.us.debian.org/debian/dists/potato/main/binary-all/devel/cvsweb_1.79-3potato1.deb