Bulletin d'alerte Debian
DSA-486-1 cvs -- Plusieurs failles de sécurité
- Date du rapport :
- 16 avril 2004
- Paquets concernés :
- cvs
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 10138, Identifiant BugTraq 10140.
Dans le dictionnaire CVE du Mitre : CVE-2004-0180, CVE-2004-0405. - Plus de précisions :
-
Deux failles de sécurité ont été découvertes et corrigées dans le CVS :
- CAN-2004-0180
Sebastian Krahmer a découvert une faille de sécurité par laquelle un pserver CVS malveillant pouvait créer n'importe quel fichier sur le système client durant une opération de mise à jour ou de copie en fournissant le chemin absolu dans les différentiels RCS ;
- CAN-2004-0405
Derek Robert Price a découvert une faille de sécurité par laquelle un pserver CVS pouvait être abusé par un client malveillant pour voir le contenu de certains fichiers en dehors du répertoire CVS root en utilisant des chemins relatifs contenant ../.
Pour la distribution stable actuelle (Woody), ces problèmes ont été corrigés dans la version 1.11.1p1debian-9woody2.
Pour la distribution instable (Sid), ces problèmes seront corrigés bientôt.
Nous vous recommandons de mettre à jour votre paquet cvs.
- CAN-2004-0180
- Corrigé dans :
-
Debian GNU/Linux 3.0 (woody)
- Source :
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2.dsc
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2.diff.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian.orig.tar.gz
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2_alpha.deb
- ARM:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/c/cvs/cvs_1.11.1p1debian-9woody2_sparc.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.