Debians sikkerhedsbulletin
DSA-2563-1 viewvc -- flere sårbarheder
- Rapporteret den:
- 23. okt 2012
- Berørte pakker:
- viewvc
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2009-5024, CVE-2012-3356, CVE-2012-3357, CVE-2012-4533.
- Yderligere oplysninger:
-
Flere sårbarheder blev fundet i ViewVC, en webgrænseflade til CVS- og Subversion-arkiver.
- CVE-2009-5024
Fjernangribere kunne omgå opsætningsindstillingen cvsdb row_limit, og dermed iværksætte ressourceforbrugsangreb via limit-parameteret.
- CVE-2012-3356
Fjernvisningsfunktionaliteten til Subversion udførte ikke tilstrækkelig autorisation, hvilket gjorde det muligt for fjernangribere at omgå tilsigtede adgangsbegrænsninger.
- CVE-2012-3357
Subversion-versionsvisningen håndterede ikke på korrekt vis logmeddelelser, når en læsbar sti blev kopieret fra en ikke-læsbar sti, hvilket gjorde det muligt for fjernangribere at få fat i følsomme oplysninger.
- CVE-2012-4533
function name
-linjer fra diff blev ikke indkapslet på korrekt vis, hvilket gjorde det muligt for angribere med commit-rettigheder, at udføre skripter på tværs af webservere.
I den stabile distribution (squeeze), er disse problemer rettet i version 1.1.5-1.1+squeeze2.
I distributionen testing (wheezy), vil disse problemer snart blive rettet.
I den ustabile distribution (sid), er disse problemer rettet i version 1.1.5-1.4.
Vi anbefaler at du opgraderer dine viewvc-pakker.
- CVE-2009-5024