Porada dotycząca bezpieczeństwa Debiana

DSA-422-1 cvs -- zagrożenie zewnętrzne

Data Zgłoszenia:
13.01.2004
Narażone Pakiety:
cvs
Podatny:
Tak
Odnośniki do baz danych na temat bezpieczeństwa:
Brak dostępnych odnośników do zewnętrznych baz danych na temat bezpieczeństwa.
Więcej informacji:

Zarządca konta (account management) CVS pserver (używany przy przydzielaniu dostępu do repezytorium CVS osobom z zewnątrz) używa pliku CVSROOT/passwd w każdym repezytorium który zawiera konta i ich informacje autentyfikacyjne, a także nazwę lokalnego konta uniksowego używanego przy wykorzystywaniu konta pserver. Ponieważ CVS nie wykonuje sprawdzania jakie zostało wyszczególnione konto uniksowe, każdy kto może modyfikować CVSROOT/passwd może też uzyskać dostęp do wszystkich lokalnych użytkowników na serwerze CVS włącznie z kontem root.

Problem został rozwiązany w zewnętrznej wersji 1.11.11 poprzez uniemożliwenie rootowi na działanie na pserver. W przypadku Debiana problem rozwiązano w wersji 1.11.1p1debian-9 na dwa różne sposoby:

  • pserver nie pozwala już na używanie konta root przy dostępie do repezytoriów
  • Wprowadzono nowy /etc/cvs-repouid który może być używany przez administratora systemu do przesłonięcia konta uniksowego używanego przy dostępie do repezytorium. Więcej informacji o tej zmianie można uzyskać pod tym adresem: http://www.wiggy.net/code/cvs-repouid/

Dodatkowo CVS pserver miał błąd w module parsowania żądań, który mógł być użyty do stworzenia plików i katalogów poza repezytorium. Zostało to wyeliminowane w zewnętrznej wersji 1.11.11, a w Debianie w wersji 1.11.1p1debian-9.

Na koniec, zmieniono umask używany dla “cvs init” i “cvs-makerepos” aby zabezpieczyć repezytoria przed możliwością stworzenia ich z prawami zapisu grupy.

Naprawiony w:

Debian GNU/Linux 3.0 (stable)

Źródło:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
Alpha:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
ARM:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
HP Precision:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
Motorola 680x0:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb

Sumy kontrolne MD5 wymienionych plików dostępne są w oryginalnej poradzie.