Debian-Sicherheitsankündigung
DSA-422-1 cvs -- Entfernte Verwundbarkeit
- Datum des Berichts:
- 13. Jan 2004
- Betroffene Pakete:
- cvs
- Verwundbar:
- Ja
- Sicherheitsdatenbanken-Referenzen:
- Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.
- Weitere Informationen:
-
Die Kontenverwaltung des pservers von CVS (der entfernten Zugriff auf CVS-Depots ermöglicht) verwendet die Datei CVSROOT/passwd aus jedem Depot, das die Konten- und Authentifizierungsinformationen sowie den Namen des lokal verwendeten Unix-Kontos enthält, das für das pserver-Konto verwendet wird. Da CVS keine Prüfung durchführt, welches Unix-Konto angegeben ist, könnte jeder, der CVSROOT/passwd ändern kann, Zugriff auf alle lokalen Benutzer auf dem CVS-Server erhalten, inklusive root.
Dies wurde in der Upstream-Version 1.11.11 geändert, indem es unterbunden wurde, dass pserver als root läuft. Für Debian wurde dieses Problem in Version 1.11.1p1debian-9 auf zwei Arten gelöst:
- pserver ist es nicht mehr erlaubt, root zu verwenden, um auf Depots zuzugreifen.
- Eine neue Datei /etc/cvs-repouid wurde eingeführt, die vom Systemadministrator verwendet werden kann, um das Unix-Konto festzuschreiben, mit dem auf das Depot zugegriffen wird. Weitere Informationen über diese Änderung sind unter http://www.wiggy.net/code/cvs-repouid/ zu finden.
Zusätzlich hatte CVS-pserver einen Fehler in der Verarbeitung von Modul-Anfragen, der verwendet werden könnte, um Dateien und Verzeichnisse außerhalb eines Depots zu erstellen. Dies wurde Upstream in Version 1.11.11 und in der Debian-Version 1.11.1p1debian-9 behoben.
Zu guter Letzt wurde die umask geändert, die für »cvs init« und »cvs-makerepos« verwendet wurde, um zu verhindern, dass Depots mit Gruppenschreibrechten erstellt werden.
- Behoben in:
-
Debian GNU/Linux 3.0 (stable)
- Quellcode:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb
MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.