Säkerhetsbulletin från Debian
cvsweb -- obehörigiga kan utifrån exekvera kod
- Rapporterat den:
- 2000-07-16
- Berörda paket:
- cvsweb
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2000-0670.
- Ytterligare information:
- Versionerna av cvsweb som medföljde Debian GNU/Linux
2.1 (slink), så väl som i de frusna (potato) och instabila (woody)
versionerna är sårbara för en attack som utifrån gör det möjligt att få
skalåtkomst.
En angripare med skrivåtkomst till cvs-filerna kan exekvera vilken kod som
helst på servern som www-data-användaren.
Sårbarheten har rättats i version 109 av cvsweb för den nuvarande stabila versionen (Debian GNU/Linux 2.1), i version 1.79-3potato1 för den frusna utgåvan och i version 1.86-1 i den instabila versionen.
- Rättat i:
-
Debian GNU/Linux 2.1 (slink):
- Källkod:
- http://security.debian.org/dists/slink/updates/source/cvsweb_109.dsc
- http://security.debian.org/dists/slink/updates/source/cvsweb_109.tar.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/dists/slink/updates/binary-all/cvsweb_109_all.deb
Debian GNU/Linux 2.2 (potato):
- Källkod:
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.diff.gz
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79.orig.tar.gz
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc
- Arkitekturoberoende komponent:
- http://http.us.debian.org/debian/dists/potato/main/binary-all/devel/cvsweb_1.79-3potato1.deb