Informations de sécurité / 2021 / Informations sur la sécurité -- DSA-4851-1 subversion

Bulletin d'alerte Debian

DSA-4851-1 subversion -- Mise à jour de sécurité

Date du rapport :

13 février 2021

Paquets concernés :

subversion

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 982464.
Dans le dictionnaire CVE du Mitre : CVE-2020-17525.

Plus de précisions :

Thomas Akesson a découvert une vulnérabilité déclenchable à distance dans le module mod_authz_svn dans Subversion, un système de gestion de versions. Lors de l'utilisation de règles « authz » internes au dépôt avec l'option AuthzSVNReposRelativeAccessFile, un utilisateur distant non authentifié peut tirer avantage de ce défaut pour provoquer un déni de service en envoyant une requête à une URL de dépôt qui n'existe pas.

Pour la distribution stable (Buster), ce problème a été corrigé dans la version 1.10.4-1+deb10u2.

Nous vous recommandons de mettre à jour vos paquets subversion.

Pour disposer d'un état détaillé sur la sécurité de subversion, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/subversion.