Sikkerhedsoplysninger / 2015 / Sikkerhedsoplysninger -- DSA-3137-1 websvn

Debians sikkerhedsbulletin

DSA-3137-1 websvn -- sikkerhedsopdatering

Rapporteret den:

24. jan 2015

Berørte pakker:

websvn

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Debians fejlsporingssystem: Fejl 775682.
I Mitres CVE-ordbog: CVE-2013-6892.

Yderligere oplysninger:

James Clawson opdagede at websvn, en webfremviser til Subversion-arkiver, fulgte symlinks i et arkiv, når en fil blev præsenteret til download. En angriber med skriveadgang til arkivet kunne dermed tilgå enhver fil på disken, som er læsbar af den bruger, som webserveren kører under.

I den stabile distribution (wheezy), er dette problem rettet i version 2.3.3-1.1+deb7u1.

I den ustabile distribution (sid), er dette problem rettet i version 2.3.3-1.2.

Vi anbefaler at du opgraderer dine websvn-pakker.