Säkerhetsinformation / 2012 / Säkerhetsinformation -- DSA-2563-1 viewvc

Säkerhetsbulletin från Debian

DSA-2563-1 viewvc -- flera sårbarheter

Rapporterat den:

2012-10-23

Berörda paket:

viewvc

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2009-5024, CVE-2012-3356, CVE-2012-3357, CVE-2012-4533.

Ytterligare information:

Flera sårbarheter har upptäckts i ViewVC, ett webbgränssnitt för CVS- och Subversion-förråd.

• CVE-2009-5024

  Fjärrangripare kan förbigå konfigarationsinställningen cvsdb row_limit, och som en konsekvens av detta utföra resurskonsumptionsangrepp via limit-parametern.

• CVE-2012-3356

  Funktionaliteten för fjärrvyer av Subversion utför inte ordentlig auktorisation, vilket tillåter fjärrangripare att förbigå tänkta åtkomstrestriktioner.

• CVE-2012-3357

  Subversionrevisionsvyn hanterar inte loggmeddelanden ordentligt när en läsbar sökväg kopieras från en oläsbar sökväg, vilket tillåter fjärrangripare att få känslig information.

• CVE-2012-4533

  function name-rader som returneras av diff är inte ordentligt avslutade, vilket tillåter angripare med commiträttigheter att utföra serveröverskridande skriptangrepp.

För den stabila utgåvan (Squeeze) har dessa problem rättats i version 1.1.5-1.1+squeeze2.

För uttestningsutgåvan (Wheezy) kommer dessa problem att rättas inom kort.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.1.5-1.4.

Vi rekommenderar att ni uppgraderar era viewvc-paket.