Debians sikkerhedsbulletin

DSA-2108-1 cvsnt -- programmeringsfejl

Rapporteret den:
14. sep 2010
Berørte pakker:
cvsnt
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 593884.
I Mitres CVE-ordbog: CVE-2010-1326.
Yderligere oplysninger:

Man opdagede at der var en fejl i autentificeringskoden i cvsnt, en flerplatformsudgave af det oprindelige kildekodeversioneringssystem CVS, hvilket gjorde det muligt for en ondsindet upriviligeret bruger, ved anvendelse af et særligt fremstillet forgreningsnavn, at opnå skriverettigheder til ethvert modul eller mappe, herunder CVSROOT selv. Angriberen kunne dernæst udføre vilkårlig kode som root, ved at ændre eller tilføje administrative skripter i mappen.

I den stabile distribution (lenny), er dette problem rettet i version 2.5.03.2382-3.3+lenny1.

Vi anbefaler at du opgraderer din cvsnt-pakke.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1.dsc
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1.diff.gz
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382.orig.tar.gz
Alpha
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_alpha.deb
AMD64
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_amd64.deb
ARM
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_arm.deb
ARM EABI
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_armel.deb
HP Precision
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_sparc.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.