Debian セキュリティ勧告

DSA-2563-1 viewvc -- 複数の脆弱性

報告日時:

2012-10-23

影響を受けるパッケージ:

viewvc

危険性:

あり

参考セキュリティデータベース:

詳細:

CVS および Subversion リポジトリのウェブインターフェイスである ViewVC に複数の脆弱性が見つかりました。

CVE-2009-5024:
リモートの攻撃者が cvsdb row_limit 設定をバイパス可能なことにより、limit パラメータ経由のリソース消費攻撃につながります。
CVE-2012-3356:
リモート Subversion views 機能が認証を適切に行っていないため、リモートの攻撃者にアクセス制限の迂回を許していました。
CVE-2012-3357:
Subversion 改訂 view が読めないパスを読めるパスに複製する際に、ログメッセージを適切に処理していないため、リモートの攻撃者に機密情報の取得を許していました。
CVE-2012-4533:
diff から返される「function name」行が適切にエスケープされていないため、commit アクセスの可能な攻撃者にクロスサイトスクリプティングを許していました。

安定版 (stable) ディストリビューション (squeeze) では、この問題はバージョン 1.1.5-1.1+squeeze2 で修正されています。

テスト版 (testing) ディストリビューション (wheezy) では、この問題は近く修正予定です。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 1.1.5-1.4 で修正されています。

直ちに viewvc パッケージをアップグレードすることを勧めます。