Debians sikkerhedsbulletin
DSA-3932-1 subversion -- sikkerhedsopdatering
- Rapporteret den:
- 10. aug 2017
- Berørte pakker:
- subversion
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2016-8734, CVE-2017-9800.
- Yderligere oplysninger:
-
Flere problemer blev opdaget i Subversion, et centraliseret versionsstyringsssystem.
- CVE-2016-8734
(kun jessie)
Subversions servermodul mod_dontdothat og Subversion-klienter, som anvender http(s)://, var sårbare over for et lammelsesangreb forårsaget af eksponentiel udvidelse af XML-entiteter.
- CVE-2017-9800
Joern Schneeweisz opdagede at Subversion ikke på korrekt vis håndterede ondsindet konstruerede svn+ssh://-URL'er. Dermed kunne en angriber køre en vilkårlig shell-kommando, eksempelvis gennem egenskaberne svn:externals properties eller når
svnsync sync
blev anvendt.
I den gamle stabile distribution (jessie), er disse problemer rettet i version 1.8.10-6+deb8u5.
I den stabile distribution (stretch), er disse problemer rettet i version 1.9.5-1+deb9u1.
Vi anbefaler at du opgraderer dine subversion-pakker.
- CVE-2016-8734