Debian-Sicherheitsankündigung

DSA-422-1 cvs -- Entfernte Verwundbarkeit

Datum des Berichts:
13. Jan 2004
Betroffene Pakete:
cvs
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
Im Augenblick ist keine weitere externe Sicherheitsdatenbank-Referenz verfügbar.
Weitere Informationen:

Die Kontenverwaltung des pservers von CVS (der entfernten Zugriff auf CVS-Depots ermöglicht) verwendet die Datei CVSROOT/passwd aus jedem Depot, das die Konten- und Authentifizierungsinformationen sowie den Namen des lokal verwendeten Unix-Kontos enthält, das für das pserver-Konto verwendet wird. Da CVS keine Prüfung durchführt, welches Unix-Konto angegeben ist, könnte jeder, der CVSROOT/passwd ändern kann, Zugriff auf alle lokalen Benutzer auf dem CVS-Server erhalten, inklusive root.

Dies wurde in der Upstream-Version 1.11.11 geändert, indem es unterbunden wurde, dass pserver als root läuft. Für Debian wurde dieses Problem in Version 1.11.1p1debian-9 auf zwei Arten gelöst:

  • pserver ist es nicht mehr erlaubt, root zu verwenden, um auf Depots zuzugreifen.
  • Eine neue Datei /etc/cvs-repouid wurde eingeführt, die vom Systemadministrator verwendet werden kann, um das Unix-Konto festzuschreiben, mit dem auf das Depot zugegriffen wird. Weitere Informationen über diese Änderung sind unter http://www.wiggy.net/code/cvs-repouid/ zu finden.

Zusätzlich hatte CVS-pserver einen Fehler in der Verarbeitung von Modul-Anfragen, der verwendet werden könnte, um Dateien und Verzeichnisse außerhalb eines Depots zu erstellen. Dies wurde Upstream in Version 1.11.11 und in der Debian-Version 1.11.1p1debian-9 behoben.

Zu guter Letzt wurde die umask geändert, die für »cvs init« und »cvs-makerepos« verwendet wurde, um zu verhindern, dass Depots mit Gruppenschreibrechten erstellt werden.

Behoben in:

Debian GNU/Linux 3.0 (stable)

Quellcode:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
Alpha:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.