Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3932-1 subversion

Bulletin d'alerte Debian

DSA-3932-1 subversion -- Mise à jour de sécurité

Date du rapport :

10 août 2017

Paquets concernés :

subversion

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2016-8734, CVE-2017-9800.

Plus de précisions :

Plusieurs problèmes ont été découverts dans Subversion, un système centralisé de gestion de versions.

• CVE-2016-8734

  (Jessie uniquement)

  Le module serveur mod_dontdothat de Subversion et les clients Subversion utilisant http(s):// étaient vulnérables à une attaque par déni de service provoquée par une expansion d'entités XML exponentielle.

• CVE-2017-9800

  Joern Schneeweisz a découvert que Subversion ne gérait pas correctement les URL svn+ssh:// construites de façon malveillante. Cela permettait à un attaquant d'exécuter une commande arbitraire de l'interpréteur, par exemple grâce à des propriétés svn:externals ou lors de l'utilisation de svnsync sync.

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 1.8.10-6+deb8u5.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 1.9.5-1+deb9u1.

Nous vous recommandons de mettre à jour vos paquets subversion.