Säkerhetsbulletin från Debian
DSA-422-1 cvs -- fjärrsårbarhet
- Rapporterat den:
- 2004-01-13
- Berörda paket:
- cvs
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- För närvarande är inga ytterligare referenser till externa säkerhetsdatabaser tillgängliga.
- Ytterligare information:
-
Kontohanteringen i CVS-pserver (vilket används för att ge användare utifrån tillgång till cvs-arkiv) använder filen CVSROOT/passwd i cvs-arkivet till att lista konton och deras autentiseringsinformation, såväl som namnet på det lokala Unixkonto som används för pserverkontot. Eftersom CVS inte utförde någon kontroll av vilket Unixkonto som angavs kunde alla med möjlighet att ändra CVSROOT/passwd få tillgång till alla lokala användare på cvs-servern, inklusive root.
Detta har rättats i uppströmsversion 1.11.11 genom att förhindra pserver från att köra som root. För Debian har problemet lösts i version 1.11.1p1debian-9 på två olika sätt:
- pserver kan inte längre använda root för att nå arkiv.
- en ny fil /etc/cvs-repouid kan användas av systemadministratören för att välja ett annat Unixkonto att använda för att nå arkivet. Ytterligare information om denna ändring finns på http://www.wiggy.net/code/cvs-repouid/
Dessutom hade CVS-pserver ett fel i tolkningen av modulförfrågningar, vilket kunde användas för att skapa filer och kataloger utanför ett arkiv. Detta har rättats uppströms i version 1.11.11 och i Debianversion 1.11.1p1debian-9.
Slutligen har umask ändrats för ”cvs init” och ”cvs-makerepos” för att förhindra att arkiv skapas med skrivbehörighet för gruppen.
- Rättat i:
-
Debian GNU/Linux 3.0 (stable)
- Källkod:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.dsc
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_arm.deb
- HP Precision:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_ia64.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_m68k.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9_sparc.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.