Debians sikkerhedsbulletin
DSA-422-1 cvs -- fjern-sårbarhed
- Rapporteret den:
- 13. jan 2004
- Berørte pakker:
- cvs
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.
- Yderligere oplysninger:
-
Kontohåndteringen i CVS' pserver (som anvendes til at give fjernadgang til CVS-arkiver) anvender en CVSROOT/passwd fil i hvert arkiv, indeholdende kontoer og deres autentifikationsoplysninger foruden navnet på den lokale unix-konto der skal anvendes når en pserver-konto anvendes. Da CVS ikke foretog af hvilken unix-konto der var angivet, kunne alle med angang til at ændre CVSROOT/passwd opnå adgang til alle lokale brugere på CVS-serveren, deriblandt root.
Dette er rettet i opstrømsversion 1.11.11 ved at forhindre pserver i at køre som root. I Debian er dette problem rettet i version 1.11.1p1debian-9 på to forskellige måder:
- pserver har ikke længere lov til at anvende root for at tilgå arkiverne
- En ny /etc/cvs-repouid er indført og kan anvendes af systemadministratoren til at overtrumfe den unix-konto som anvendes til at tilgå et arkiv. Flere oplysninger om denne ændring findes på http://www.wiggy.net/code/cvs-repouid/.
Desuden havde CVS' pserver en fejl i fortolkningen af modulforespørgsler, hvilket kunne anvendes til at oprette filer og mapper udenfor arkivet. Dette er rettet i opstrøms version 1.11.11 og Debians version 1.11.1p1debian-9.
Slutteligt er den umask som anvendes til “cvs init” og “cvs-makerepos” ændret for at forhindre arkiver i at blive oprettet med gruppe-skriverettigheder.
- Rettet i:
-
Debian GNU/Linux 3.0 (stable)
- Kildekode:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.