Aviso de seguridad de Debian
DSA-605-1 viewcvs -- no se tenían en cuenta las opciones
- Fecha del informe:
- 6 de dic de 2004
- Paquetes afectados:
- viewcvs
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2004-0915.
- Información adicional:
-
Haris Sehic descubrió varias vulnerabilidades en viewcvs, una utilidad para ver repositorios CVS y Subversion por medio de HTTP. Al exportar un repositorio como archivo tar, las opciones «hide_cvsroot» y «forbidden» no se tenían en cuenta lo suficiente.
Al actualizar el paquete para woody, asegúrese de hacer una copia de su archivo /etc/viewcvs/viewcvs.conf, si es que ha editado este archivo manualmente. Durante la actualización, debconf puede alterarlo de tal modo que puede ser que viewcvs no pueda entenderlo.
Para la distribución estable (woody), estos problemas se han corregido en la versión 0.9.2-4woody1.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 0.9.2+cvs.1.0.dev.2004.07.28-1.2.
Le recomendamos que actualice el paquete viewcvs.
- Arreglado en:
-
Debian GNU/Linux 3.0 (woody)
- Fuentes:
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.dsc
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.diff.gz
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.