Debians sikkerhedsbulletin
DSA-2108-1 cvsnt -- programmeringsfejl
- Rapporteret den:
- 14. sep 2010
- Berørte pakker:
- cvsnt
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 593884.
I Mitres CVE-ordbog: CVE-2010-1326. - Yderligere oplysninger:
-
Man opdagede at der var en fejl i autentificeringskoden i cvsnt, en flerplatformsudgave af det oprindelige kildekodeversioneringssystem CVS, hvilket gjorde det muligt for en ondsindet upriviligeret bruger, ved anvendelse af et særligt fremstillet forgreningsnavn, at opnå skriverettigheder til ethvert modul eller mappe, herunder CVSROOT selv. Angriberen kunne dernæst udføre vilkårlig kode som root, ved at ændre eller tilføje administrative skripter i mappen.
I den stabile distribution (lenny), er dette problem rettet i version 2.5.03.2382-3.3+lenny1.
Vi anbefaler at du opgraderer din cvsnt-pakke.
- Rettet i:
-
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1.dsc
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1.diff.gz
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1.diff.gz
- Alpha
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_alpha.deb
- AMD64
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_amd64.deb
- ARM
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_arm.deb
- ARM EABI
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_armel.deb
- HP Precision
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_hppa.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_ia64.deb
- Big-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_mips.deb
- Little-endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_sparc.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.