Säkerhetsbulletin från Debian
DSA-3932-1 subversion -- säkerhetsuppdatering
- Rapporterat den:
- 2017-08-10
- Berörda paket:
- subversion
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2016-8734, CVE-2017-9800.
- Ytterligare information:
-
Flera problem har upptäckts i Subversion, ett centraliserat versionshanteringssystem.
- CVE-2016-8734
(endast Jessie)
Subversions servermodul mod_dontdothat och Subversionklienter som använder http(s):// var sårbara för ett överbelastningsangrepp som orsakats av exponentiell XML-enhetsexpansion.
- CVE-2017-9800
Joern Schneeweisz upptäckte att Subversion inte hanterar illasinnat konstruerade svn+ssh://-URLer ordentligt. Detta kunde tillåta en angripare att köra ett godtycklig skalkommando, exempelvis via svn:externals-egenskaper eller vid användning av
svnsync sync
.
För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 1.8.10-6+deb8u5.
För den stabila utgåvan (Stretch) har dessa problem rättats i version 1.9.5-1+deb9u1.
Vi rekommenderar att ni uppgraderar era subversion-paket.
- CVE-2016-8734