Aviso de seguridad de Debian
DSA-422-1 cvs -- vulnerabilidad remota
- Fecha del informe:
- 13 de ene de 2004
- Paquetes afectados:
- cvs
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- No se dispone, de momento, de referencias a otras bases de datos de seguridad externas.
- Información adicional:
-
La gestión remota del servidor «pserver» del CVS (que se usa para dar acceso a los almacenes CVS remotos) usa un archivo CVSROOT/passwd en cada almacén, que tiene las cuentas e información de la identificación así como el nombre de la cuenta local unix correspondiente a la de pserver. Como CVS no realizaba comprobaciones sobre qué cuenta unix se especificaba, cualquiera que pudiera modificar CVSROOT/passwd podría obtener acceso a todos los usuarios locales del servidor CVS, incluyendo root.
Esta incidencia se ha corregido en la versión original 1.11.11, evitando que pserver corra como root. Para Debian, este problema se ha soluciado en la versión 1.11.1p1debian-9 de dos formas diferentes:
- a pserver no se le permite usar root para acceder a los almacenes
- se introduce un nuevo archivo /etc/cvs-repouid; el administrador del sistema lo puede usar para indicar que se use ésta en lugar de la cuenta unix para acceder a un almacén. Se puede encontrar más información sobre este cambio en http://www.wiggy.net/code/cvs-repouid/
Además, el servidor «pserver» CVS tenía un error en las peticiones de análisis de peticiones de módulos, que se podría usar para crear archivos y directorios fuera del almacén. Esto se ha corregido en la versión original 1.11.11 y en la versión de Debian 1.11.1p1debian-9.
Por último, la máscara «umask» que se usaba en “cvs init” y “cvs-makerepos” se ha cambiado para evitar que se creen almacenes con permisos de escritura para el grupo.
- Arreglado en:
-
Debian GNU/Linux 3.0 (stable)
- Fuentes:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.