Aviso de seguridad de Debian

DSA-422-1 cvs -- vulnerabilidad remota

Fecha del informe:
13 de ene de 2004
Paquetes afectados:
cvs
Vulnerable:
Referencias a bases de datos de seguridad:
No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.
Información adicional:

La gestión remota del servidor «pserver» del CVS (que se usa para dar acceso a los almacenes CVS remotos) usa un archivo CVSROOT/passwd en cada almacén, que tiene las cuentas e información de la identificación así como el nombre de la cuenta local unix correspondiente a la de pserver. Como CVS no realizaba comprobaciones sobre qué cuenta unix se especificaba, cualquiera que pudiera modificar CVSROOT/passwd podría obtener acceso a todos los usuarios locales del servidor CVS, incluyendo root.

Esta incidencia se ha corregido en la versión original 1.11.11, evitando que pserver corra como root. Para Debian, este problema se ha soluciado en la versión 1.11.1p1debian-9 de dos formas diferentes:

  • a pserver no se le permite usar root para acceder a los almacenes
  • se introduce un nuevo archivo /etc/cvs-repouid; el administrador del sistema lo puede usar para indicar que se use ésta en lugar de la cuenta unix para acceder a un almacén. Se puede encontrar más información sobre este cambio en http://www.wiggy.net/code/cvs-repouid/

Además, el servidor «pserver» CVS tenía un error en las peticiones de análisis de peticiones de módulos, que se podría usar para crear archivos y directorios fuera del almacén. Esto se ha corregido en la versión original 1.11.11 y en la versión de Debian 1.11.1p1debian-9.

Por último, la máscara «umask» que se usaba en “cvs init” y “cvs-makerepos” se ha cambiado para evitar que se creen almacenes con permisos de escritura para el grupo.

Arreglado en:

Debian GNU/Linux 3.0 (stable)

Fuentes:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
Alpha:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.