Debians sikkerhedsbulletin

DSA-422-1 cvs -- fjern-sårbarhed

Rapporteret den:
13. jan 2004
Berørte pakker:
cvs
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
Der er pt. ingen tilgængelige eksterne sikkerhedsreferencer i andre databaser.
Yderligere oplysninger:

Kontohåndteringen i CVS' pserver (som anvendes til at give fjernadgang til CVS-arkiver) anvender en CVSROOT/passwd fil i hvert arkiv, indeholdende kontoer og deres autentifikationsoplysninger foruden navnet på den lokale unix-konto der skal anvendes når en pserver-konto anvendes. Da CVS ikke foretog af hvilken unix-konto der var angivet, kunne alle med angang til at ændre CVSROOT/passwd opnå adgang til alle lokale brugere på CVS-serveren, deriblandt root.

Dette er rettet i opstrømsversion 1.11.11 ved at forhindre pserver i at køre som root. I Debian er dette problem rettet i version 1.11.1p1debian-9 på to forskellige måder:

  • pserver har ikke længere lov til at anvende root for at tilgå arkiverne
  • En ny /etc/cvs-repouid er indført og kan anvendes af systemadministratoren til at overtrumfe den unix-konto som anvendes til at tilgå et arkiv. Flere oplysninger om denne ændring findes på http://www.wiggy.net/code/cvs-repouid/.

Desuden havde CVS' pserver en fejl i fortolkningen af modulforespørgsler, hvilket kunne anvendes til at oprette filer og mapper udenfor arkivet. Dette er rettet i opstrøms version 1.11.11 og Debians version 1.11.1p1debian-9.

Slutteligt er den umask som anvendes til “cvs init” og “cvs-makerepos” ændret for at forhindre arkiver i at blive oprettet med gruppe-skriverettigheder.

Rettet i:

Debian GNU/Linux 3.0 (stable)

Kildekode:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
Alpha:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.