Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2703-1 subversion

Bulletin d'alerte Debian

DSA-2703-1 subversion -- Plusieurs vulnérabilités

Date du rapport :

9 juin 2013

Paquets concernés :

subversion

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 711033.
Dans le dictionnaire CVE du Mitre : CVE-2013-1968, CVE-2013-2112.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Subversion, un système de gestion de version. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2013-1968

  Les dépôts Subversion avec le format de stockage de données de dépôts FSFS peuvent être corrompus par des caractères de changement de ligne dans les noms de fichier. Un attaquant distant avec un client malveillant pourrait utiliser ce défaut pour interrompre le service pour les autres utilisateurs utilisant ce dépôt.

• CVE-2013-2112

  Le processus serveur svnserve de Subversion pourrait se terminer lorsqu’une connexion TCP entrante est fermée tôt dans le processus de connexion. Un attaquant distant peut forcer svnserve à se terminer et donc provoquer un déni de service aux utilisateurs du serveur.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 1.6.12dfsg-7.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 1.6.17dfsg-4+deb7u3.

Pour la distribution unstable (Sid), ces problèmes seront corrigés prochainement.

Nous vous recommandons de mettre à jour vos paquets subversion.