Porada dotycząca bezpieczeństwa Debiana
DSA-422-1 cvs -- zagrożenie zewnętrzne
- Data Zgłoszenia:
- 13.01.2004
- Narażone Pakiety:
- cvs
- Podatny:
- Tak
- Odnośniki do baz danych na temat bezpieczeństwa:
- Brak dostępnych odnośników do zewnętrznych baz danych na temat bezpieczeństwa.
- Więcej informacji:
-
Zarządca konta (account management) CVS pserver (używany przy przydzielaniu dostępu do repezytorium CVS osobom z zewnątrz) używa pliku CVSROOT/passwd w każdym repezytorium który zawiera konta i ich informacje autentyfikacyjne, a także nazwę lokalnego konta uniksowego używanego przy wykorzystywaniu konta pserver. Ponieważ CVS nie wykonuje sprawdzania jakie zostało wyszczególnione konto uniksowe, każdy kto może modyfikować CVSROOT/passwd może też uzyskać dostęp do wszystkich lokalnych użytkowników na serwerze CVS włącznie z kontem root.
Problem został rozwiązany w zewnętrznej wersji 1.11.11 poprzez uniemożliwenie rootowi na działanie na pserver. W przypadku Debiana problem rozwiązano w wersji 1.11.1p1debian-9 na dwa różne sposoby:
- pserver nie pozwala już na używanie konta root przy dostępie do repezytoriów
- Wprowadzono nowy /etc/cvs-repouid który może być używany przez administratora systemu do przesłonięcia konta uniksowego używanego przy dostępie do repezytorium. Więcej informacji o tej zmianie można uzyskać pod tym adresem: http://www.wiggy.net/code/cvs-repouid/
Dodatkowo CVS pserver miał błąd w module parsowania żądań, który mógł być użyty do stworzenia plików i katalogów poza repezytorium. Zostało to wyeliminowane w zewnętrznej wersji 1.11.11, a w Debianie w wersji 1.11.1p1debian-9.
Na koniec, zmieniono umask używany dla “cvs init” i “cvs-makerepos” aby zabezpieczyć repezytoria przed możliwością stworzenia ich z prawami zapisu grupy.
- Naprawiony w:
-
Debian GNU/Linux 3.0 (stable)
- Źródło:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb
Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.