セキュリティ情報 / 2013 / セキュリティ情報 -- DSA-2703-1 subversion

Debian セキュリティ勧告

DSA-2703-1 subversion -- 複数の脆弱性

報告日時:

2013-06-09

影響を受けるパッケージ:

subversion

危険性:

あり

参考セキュリティデータベース:

Debian バグ追跡システム: バグ 711033.
Mitre の CVE 辞書: CVE-2013-1968, CVE-2013-2112.

詳細:

複数の脆弱性がバージョン管理システム Subversion に発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

• CVE-2013-1968

  リポジトリデータ格納形式として FSFS を利用している Subversion リポジトリがファイル名中の改行文字により破損する可能性があります。 悪意のあるクライアントを所持しているリモートの攻撃者がこの欠陥により、 そのリポジトリを使っている他のユーザのサービスを中断させるとができます。

• CVE-2013-2112

  入ってくる TCP 接続が接続プロセスの初期段階で閉じられた場合に、 Subversion の svnserve サーバプロセスが終了する可能性があります。 リモートの攻撃者が svnserve を終了させられるため、 そのサーバのユーザに対するサービス拒否を起こせます。

旧安定版 (oldstable) ディストリビューション (squeeze) では、この問題はバージョン 1.6.12dfsg-7 で修正されています。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 1.6.17dfsg-4+deb7u3 で修正されています。

不安定版 (unstable) ディストリビューション (sid) ではこの問題は近く修正予定です。

直ちに subversion パッケージをアップグレードすることを勧めます。