Информация по безопасности / 2012 / Информация о безопасности -- DSA-2563-1 viewvc

Рекомендация Debian по безопасности

DSA-2563-1 viewvc -- несколько уязвимостей

Дата сообщения:

23.10.2012

Затронутые пакеты:

viewvc

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2009-5024, CVE-2012-3356, CVE-2012-3357, CVE-2012-4533.

Более подробная информация:

В ViewVC, веб-интерфейсе для репозиториев CVS и Subversion, было обнаружено несколько уязвимостей.

• CVE-2009-5024

  Удалённые злоумышленники могут обходить параметр настройки cvsdb row_limit и, следовательно, выполнять атаки по чрезмерному потреблению ресурсов с помощью параметра limit.

• CVE-2012-3356

  Функциональность удалённого просмотра Subversion неправильно выполняет авторизацию, что позволяет удалённым злоумышленникам обходить ограничения доступа.

• CVE-2012-3357

  Просмотр редакций Subversion неправильно обрабатывает сообщения журнала в случае, если путь, открытый для чтения, копируется из пути, закрытого для чтения, что позволяет удалённым злоумышленникам получать чувствительную информацию.

• CVE-2012-4533

  Строки function name, возвращаемые diff, экранируются неправильно, что позволяет злоумышленникам с правом коммита выполнять атаки по принципу межсайтового скриптинга.

В стабильном выпуске (squeeze) эти проблемы были исправлены в версии 1.1.5-1.1+squeeze2.

В тестируемом выпуске (wheezy) эти проблемы будут исправлены позже.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.1.5-1.4.

Рекомендуется обновить пакеты viewvc.