Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3331-1 subversion

Säkerhetsbulletin från Debian

DSA-3331-1 subversion -- säkerhetsuppdatering

Rapporterat den:

2015-08-10

Berörda paket:

subversion

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-3184, CVE-2015-3187.

Ytterligare information:

Flera säkerhetsproblem har upptäckts i serverkomponenterna i versionshanteringssystemet subversion.

• CVE-2015-3184

  Subversions mod_authz_svn begränsar inte anonym åtkomst ordentligt i vissa mixade anonyma/autentiserade miljöer när Apache httpd 2.4 används. Resultatet är att en anonym åtkomst kan vara möjlig till filer för vilka endast autentiserad åtkomst borde vara möjlig. Detta problem påverkar inte den gamla stabila utgåvan (Wheezy) eftersom den endast innehåller Apache httpd 2.2.

• CVE-2015-3187

  Subversionservrar, både httpd och svnserve, kan avslöja några sökvägar som bör vara dolda av sökvägsbaserad authz. När en nod kopieras från en oläsbar plats till en läsbar plats kan den oläsbara sökvägen avslöjas. Denna sårbarhet avslöjar endast sökvägen, och avslöjar inte innehållet i sökvägen.

För den gamla stabila utgåvan (Wheezy) har detta problem rättats i version 1.6.17dfsg-4+deb7u10.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.8.10-6+deb8u1.

För uttestningsutgåvan (Stretch) kommer dessa problem att rättas i version 1.9.0-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.9.0-1.

Vi rekommenderar att ni uppgraderar era subversion-paket.