Säkerhetsbulletin från Debian

DSA-2108-1 cvsnt -- programmeringsfel

Rapporterat den:
2010-09-14
Berörda paket:
cvsnt
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 593884.
I Mitres CVE-förteckning: CVE-2010-1326.
Ytterligare information:

Det har upptäckts att cvsnt, en flerplattformsversion av den ursprungliga källkoden för versionshanteringssystemet CVS, innehåller ett fel i autentiseringskoden som tillåter en illvillig användare utan rättigheter att, med hjälp av ett specialskriven grennamn, få skrivrättigheter till vilken modul eller katalog som helst, inklusive CVSROOT. Angriparen kan sedan exekvera godtycklig kod som root genom att modifiera eller lägga till administrativa skript i katalogen.

För den stabila utgåvan (Lenny) har detta problem rättats i version 2.5.03.2382-3.3+lenny1.

Vi rekommenderar att ni uppgraderar ert cvsnt-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1.dsc
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1.diff.gz
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382.orig.tar.gz
Alpha
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_alpha.deb
AMD64
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_amd64.deb
ARM
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_arm.deb
ARM EABI
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_armel.deb
HP Precision
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_hppa.deb
Intel IA-32:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_i386.deb
Intel IA-64:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_ia64.deb
Big-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_mips.deb
Little-endian MIPS:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_mipsel.deb
PowerPC:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_powerpc.deb
IBM S/390:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_s390.deb
Sun Sparc:
http://security.debian.org/pool/updates/main/c/cvsnt/cvsnt_2.5.03.2382-3.3+lenny1_sparc.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.