Debian セキュリティ勧告
DSA-422-1 cvs -- リモートからの脆弱性
- 報告日時:
- 2004-01-13
- 影響を受けるパッケージ:
- cvs
- 危険性:
- あり
- 参考セキュリティデータベース:
- 現時点では、その他の外部参考セキュリティデータベースはありません。
- 詳細:
-
CVS pserver のアカウントマネージメント (CVS リポジトリに対してリモートからアクセスする際に用います) は CVSROOT/passwd ファイルを各リポジトリで用います。 このファイルには、アカウントと認証情報以外に、その pserver アカウントを用いる際に使うローカルの unix アカウント名も書かれています。CVS では、どの unix アカウントを用いるかについてチェックを行っていないため、 CVSROOT/passwd を変更することができる人は誰でも、CVS サーバの (root を含む) 任意のローカルユーザの権限を得ることができてしまいます。
これは上流のバージョン 1.11.11 で、pserver を root で実行しないようにすることで修正されています。Debian では、この問題はバージョン 1.11.1p1debian-9 で以下の 2 つの対策を用いて修正されています。
- pserver で、リポジトリアクセスの際に root を用いることを許さないように変更。
- 新規に /etc/cvs-repouid が導入されました。 これは、リポジトリへのアクセスの際に用いられる unix アカウントをシステム管理者がオーバーライドできるようにするものです。 この変更についての詳細は、http://www.wiggy.net/code/cvs-repouid/ を参照ください。
また、CVS pserver にはモジュールリクエストの解析にバグがあり、 リポジトリ外にファイルやディレクトリを作成することが可能でした。 これも上流の 1.11.11 と Debian のバージョン 1.11.1p1debian-9 で修正されています。
最後に、「cvs init」と「cvs-makerepos」で用いる umask の値が変更され、 リポジトリ作成の際にグループ書き込み属性が与えられないように変更されました。
- 修正:
-
Debian GNU/Linux 3.0 (stable)
- ソース:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。