Debians sikkerhedsbulletin
DSA-605-1 viewcvs -- indstilinger anvendes ikke
- Rapporteret den:
- 6. dec 2004
- Berørte pakker:
- viewcvs
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2004-0915.
- Yderligere oplysninger:
-
Haris Sehic har opdaget flere sårbarheder i viewcvs, et værktøj til visning af CVS- og Subversion-arkiver via HTTP. Ved eksport af et arkiv som en tar-arkivfil, blev indstillingerne hide_cvsroot og forbidden ikke anvendt i tilstrækkelig grad.
Når pakkerne opgraderes i woody, skal man forinden tage en kopi af sin /etc/viewcvs/viewcvs.conf-fil, hvis man manuelt har rettet i den. Ved opgraderingen kan debconf-mekanismen måske ændre filen på en måde, så viewcvs ikke længere kan forstå den.
I den stabile distribution (woody) er disse problemer rettet i version 0.9.2-4woody1.
I den ustabile distribution (sid) er disse problemer rettet i version 0.9.2+cvs.1.0.dev.2004.07.28-1.2.
Vi anbefaler at du opgraderer din viewcvs-pakke.
- Rettet i:
-
Debian GNU/Linux 3.0 (woody)
- Kildekode:
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.dsc
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.diff.gz
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2.orig.tar.gz
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/v/viewcvs/viewcvs_0.9.2-4woody1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.