Рекомендация Debian по безопасности
cvsweb -- неавторизованное удалённое выполнение кода
- Дата сообщения:
- 16.07.2000
- Затронутые пакеты:
- cvsweb
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2000-0670.
- Более подробная информация:
- Версии cvsweb, поставляемые в Debian GNU/Linux 2.1
(slink), а также в замороженном (potato) и нестабильно (woody) выпусках
содержат уязвимость командной оболочки, которая может использоваться удалённо. Злоумышленник с правом
на запись к репозиторию cvs может выполнить на сервере произвольный код от лица
пользователя www-data.
Данная уязвимость была исправлена в версии 109 пакета cvsweb для текущего стабильного выпуска (Debian GNU/Linux 2.1), в версии 1.79-3potato1 для замороженного выпуска и в версии 1.86-1 для нестабильного выпуска.
- Исправлено в:
-
Debian GNU/Linux 2.1 (slink):
- Исходный код:
- http://security.debian.org/dists/slink/updates/source/cvsweb_109.dsc
- http://security.debian.org/dists/slink/updates/source/cvsweb_109.tar.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/dists/slink/updates/binary-all/cvsweb_109_all.deb
Debian GNU/Linux 2.2 (potato):
- Исходный код:
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.diff.gz
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79.orig.tar.gz
- http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc
- Независимые от архитектуры компоненты:
- http://http.us.debian.org/debian/dists/potato/main/binary-all/devel/cvsweb_1.79-3potato1.deb