Debian セキュリティ勧告
cvsweb -- 遠隔地からの不当なコード実行
- 報告日時:
- 2000-07-16
- 影響を受けるパッケージ:
- cvsweb
- 危険性:
- あり
- 参考セキュリティデータベース:
- Mitre の CVE 辞書: CVE-2000-0670.
- 詳細:
- Debian GNU/Linux 2.1 (別名 slink) およびフリーズ版
(potato)、開発版 (woody) に収録されている cvsweb のバージョンには、
遠隔地から不正にシェルを利用される危険性があります。
攻撃者が cvs リポジトリへの書き込み権限を持っていた場合、
www-data ユーザとしてサーバ上で任意のコードを実行できてしまいます。
この問題は、現行の安定版リリース (Debian GNU/Linux 2.1) ではバージョン 109 で、 フリーズ版ディストリビューションではバージョン 1.79-3potato1 で、 開発版ディストリビューションではバージョン 1.86-1 で修正されました。
- 修正:
-
Debian GNU/Linux 2.1 (slink):
- ソース:
- http://security.debian.org/dists/slink/updates/source/cvsweb_109.dsc
- http://security.debian.org/dists/slink/updates/source/cvsweb_109.tar.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/dists/slink/updates/binary-all/cvsweb_109_all.deb
Debian GNU/Linux 2.2 (potato):
- ソース:
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.diff.gz
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79.orig.tar.gz
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc
- アーキテクチャ非依存コンポーネント:
- http://http.us.debian.org/debian/dists/potato/main/binary-all/devel/cvsweb_1.79-3potato1.deb