Informations de sécurité / 2012 / Informations sur la sécurité -- DSA-2563-1 viewvc

Bulletin d'alerte Debian

DSA-2563-1 viewvc -- Plusieurs vulnérabilités

Date du rapport :

23 octobre 2012

Paquets concernés :

viewvc

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2009-5024, CVE-2012-3356, CVE-2012-3357, CVE-2012-4533.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans ViewVC, une interface web pour les dépôts CVS et Subversion.

• CVE-2009-5024

  Des attaquants distants peuvent contourner le réglage de configuration row_limit de cvsdb, et par conséquent réaliser des attaques de consommation de ressources par l'intermédiaire du paramètre de limite.

• CVE-2012-3356

  La fonctionnalité de vues distantes de Subversion ne vérifie pas correctement l'autorisation. Cela permet aux attaquants distants de contourner les restrictions d'accès voulues.

• CVE-2012-3357

  La vue de révision Subversion ne traite pas correctement les messages de journaux lorsqu'un chemin lisible est copié depuis un chemin non lisible. Cela permet aux attaquants distants d'obtenir des renseignements sensibles.

• CVE-2012-4533

  Les lignes de nom de fonction renvoyées par diff ne sont pas correctement protégées, permettant aux attaquants avec droits d'écriture de réaliser un script intersite.

Pour la distribution stable (Squeeze), ces problèmes ont été corrigés dans la version 1.1.5-1.1+squeeze2.

Pour la distribution testing (Wheezy), ces problèmes seront corrigés prochainement.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.1.5-1.4.

Nous vous recommandons de mettre à jour vos paquets viewvc.