Aviso de seguridad de Debian
cvsweb -- ejecución de código remoto no autorizada
- Fecha del informe:
- 16 de jul de 2000
- Paquetes afectados:
- cvsweb
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2000-0670.
- Información adicional:
- Las versiones de cvsweb distribuídas con Debian GNU/Linux
2.1 (también conocido como slink) así como en la congelada (potato) e
inestable (sid), son vulnerables a una explotación de shell remota. Un
atacante con acceso de escritura al repositorio cvs puede ejecutar código
arbitrario en el seridor, como el usuario www-data.
La vulnerabilidad está arreglada en la versión 109 de cvsweb para la versión estable actual (Debian GNU/Linux 2.1), en la versión 1.79-3potato1 para la distribución congelada, y en la versión 1.86-1 pra la distribución inestable.
- Arreglado en:
-
Debian GNU/Linux 2.1 (slink):
- Fuentes:
- http://security.debian.org/dists/slink/updates/source/cvsweb_109.dsc
- http://security.debian.org/dists/slink/updates/source/cvsweb_109.tar.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/dists/slink/updates/binary-all/cvsweb_109_all.deb
Debian GNU/Linux 2.2 (potato):
- Fuentes:
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.diff.gz
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79.orig.tar.gz
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc
- Componentes independientes de la arquitectura:
- http://http.us.debian.org/debian/dists/potato/main/binary-all/devel/cvsweb_1.79-3potato1.deb