Рекомендация Debian по безопасности
DSA-422-1 cvs -- удалённая уязвимость
- Дата сообщения:
- 13.01.2004
- Затронутые пакеты:
- cvs
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- На данный момент ссылки на внешние базы данных по безопасности отсутствуют.
- Более подробная информация:
-
Система управления учётными записями сервера pserver CVS (используемого для удалённого доступа к репозиториям CVS) использует файл CVSROOT/passwd репозитория, содержащий учётные записи и информацию для авторизации, а также имя локальной учётной записи unix, задействуемой при использовании учётной записи pserver. Поскольку CVS не производит проверку того, какая учётная запись unix задана, любой, кто может изменять содержимое файла CVSROOT/passwd, может получить доступ ко всем локальным пользователям сервера CVS, включая пользователя root.
Это исправлено автором в версии 1.11.11 путём запрета запуска pserver от имени пользователя root. В Debian проблема решена в версии 1.11.1p1debian-9 двумя различными способами:
- pserver больше не может использовать учётную запись root для доступа к репозиториями
- создан новый файл /etc/cvs-repouid, который может использоваться системным администратором для изменения учётной записи unix, используемой для доступа к репозиторию. Более подробную информацию об этом новшестве можно найти по адресу http://www.wiggy.net/code/cvs-repouid/
Кроме того, сервер pserver CVS содержит ошибку в коде разбора запросов модулей, которая может быть использована для создания файлов и каталогов за пределами репозитория. Это исправлено авторами исходного кода в версии 1.11.11, а в пакете Debian — в версии 1.11.1p1debian-9.
Наконец, изменена маска umask, используемая при выполнении команд “cvs init” и “cvs-makerepos”. Теперь запрещено создание репозиториев с правами записи группы.
- Исправлено в:
-
Debian GNU/Linux 3.0 (stable)
- Исходный код:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.