Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3940-1 cvs

Säkerhetsbulletin från Debian

DSA-3940-1 cvs -- säkerhetsuppdatering

Rapporterat den:

2017-08-13

Berörda paket:

cvs

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 871810.
I Mitres CVE-förteckning: CVE-2017-12836.

Ytterligare information:

Man har upptäckt att CVS, ett centraliserat versionshanteringssystem, inte hanterar illasinnat skapade förråds-URLer korrekt, vilket kunde tillåta en angripare att köra ett godtyckligt skalkommando.

För den gamla stabila utgåvan (Jessie) har detta problem rättats i version 2:1.12.13+real-15+deb8u1.

För den stabila utgåvan (Stretch) har detta problem rättats i version 2:1.12.13+real-22+deb9u1.

Vi rekommenderar att ni uppgraderar era cvs-paket.