Bulletin d'alerte Debian
cvsweb -- Exécution à distance de code non autorisée
- Date du rapport :
- 16 juillet 2000
- Paquets concernés :
- cvsweb
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2000-0670.
- Plus de précisions :
- Les versions de cvsweb distribuées dans les distributions
Debian GNU/Linux 2.1 (Slink), gelée (Potato) et instable
(Woody) sont vulnérables à une exploitation distante du
shell. Un attaquant disposant d'un accès en écriture au dépôt cvs peut
exécuter n'importe quel code sur le serveur et ce en tant que
l'utilisateur www-data.
Cette vulnérabilité a été corrigée dans la version 109 de cvsweb pour la version stable actuelle (Debian GNU/Linux 2.1), dans la version 1.79-3potato1 pour la distribution gelée et dans la version 1.86-1 pour la distribution instable.
- Corrigé dans :
-
Debian GNU/Linux 2.1 (slink):
- Source :
- http://security.debian.org/dists/slink/updates/source/cvsweb_109.dsc
- http://security.debian.org/dists/slink/updates/source/cvsweb_109.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/dists/slink/updates/binary-all/cvsweb_109_all.deb
Debian GNU/Linux 2.2 (potato):
- Source :
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.diff.gz
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79.orig.tar.gz
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc
- Composant indépendant de l'architecture :
- http://http.us.debian.org/debian/dists/potato/main/binary-all/devel/cvsweb_1.79-3potato1.deb