Bulletin d'alerte Debian
DSA-422-1 cvs -- Vulnérabilité à distance
- Date du rapport :
- 13 janvier 2004
- Paquets concernés :
- cvs
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Aucune référence à une base de données externe en rapport avec la sécurité n'est actuellement disponible.
- Plus de précisions :
-
Le système de gestion des comptes du pserveur CVS (qui est utilisé pour donner à des utilisateurs distants accès aux entrepôts CVS) utilise un fichier CVSROOT/passwd dans chaque entrepôt, contenant les comptes et leurs informations d'authentification, ainsi que le nom du compte Unix local à utiliser lors de l'utilisation d'un compte pserveur. Comme CVS ne vérifiait pas quel compte Unix était spécifié, toute personne à même de modifier CVSROOT/passwd pouvait obtenir un accès à tous les utilisateurs locaux du serveur CVS, y compris le superutilisateur.
Ce problème a été corrigé dans la version amont 1.11.11 en empêchant le pserveur de tourner en tant que superutilisateur. Pour Debian, ce problème a été corrigé dans la version 1.11.1p1debian-9 de deux façons différentes :
- pserveur ne peut plus utiliser le compte du superutilisateur pour accéder aux entrepôts ;
- un nouveau fichier, /etc/cvs-repouid, a été introduit. Il peut être utilisé par l'administrateur du système pour forcer le compte Unix à utiliser lors de l'accès à l'entrepôt. Des informations complémentaires sur cette modification peuvent être trouvées à l'adresse http://www.wiggy.net/code/cvs-repouid/
De plus, le pserveur CVS avait un bogue dans la lecture des requêtes sur des modules, qui pouvait être utilisé pour créer des fichiers et des répertoires à l'extérieur d'un entrepôt. Ce problème a été corrigé dans la version amont 1.11.11 et dans la version 1.11.1p1debian-9 pour Debian.
Enfin, le masque utilisé pour « cvs init » et « cvs-makerepos » a été modifié afin que les entrepôts ne soient pas créés avec des permissions d'écriture pour le groupe.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (stable)
- Source :
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.