Bulletin d'alerte Debian
DSA-605-1 viewcvs -- Paramètres non respectés
- Date du rapport :
- 6 décembre 2004
- Paquets concernés :
- viewcvs
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2004-0915.
- Plus de précisions :
-
Haris Sehic a découvert plusieurs vulnérabilités dans viewcvs, un outil de consultation de dépôts CVS et subversion via HTTP. Lors de l'exportation d'un dépôt vers une archive tar, les paramètres hide_cvsroot et forbidden n'étaient pas suffisamment respectés.
Avant la mise à jour du paquet pour Woody, veuillez copier votre fichier /etc/viewcvs/viewcvs.conf si vous l'avez édité manuellement. Lors de la mise à jour, le mécanisme debconf pourrait le modifier d'une manière telle que viewcvs ne le comprenne plus.
Pour l'actuelle distribution stable (Woody), ce problème a été corrigé dans la version 0.9.2-4woody1.
Pour la distribution instable (Sid), ce problème a été corrigé dans la version 0.9.2+cvs.1.0.dev.2004.07.28-1.2.
Nous vous recommandons de mettre à jour votre paquet viewcvs.
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.dsc
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.diff.gz
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.