Debians sikkerhedsbulletin

DSA-3331-1 subversion -- sikkerhedsopdatering

Rapporteret den:
10. aug 2015
Berørte pakker:
subversion
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-3184, CVE-2015-3187.
Yderligere oplysninger:

Flere sikkerhedsproblemer er fundet i serverkomponenterne hørende til versionstyringssystemet subversion.

  • CVE-2015-3184

    Subversions mod_authz_svn håndterede ikke på korrekt vis begrænselse af anonym adgang i nogle blandede anonym-/autentificeret-miljøer, når Apache httpd 2.4 blev anvendt. Udfaldet var at anonym adgang kunne være mulig til filer, til hvilke kun autentificeret adgang skulle være mulig. Problemet påvirker ikke den gamle stabile distribution (wheezy), fordi den kun indeholder Apache httpd 2.2.

  • CVE-2015-3187

    Subversion-servere, både httpd og svnserve, afslørede nogle stier, som skulle være skjulte gennem stibaseret authz. Når en node blev kopieret fra en ulæsbar placering til læsbar placering, kunne den ulæsbare sti måske blive afsløret. Sårbarheden afslører kun stien, den afslører ikke indeholdet i stien.

I den gamle stabile distribution (wheezy), er dette problem rettet i version 1.6.17dfsg-4+deb7u10.

I den stabile distribution (jessie), er disse problemer rettet i version 1.8.10-6+deb8u1.

I distributionen testing (stretch), vil disse problemer blive rettet i version 1.9.0-1.

I den ustabile distribution (sid), er disse problemer rettet i version 1.9.0-1.

Vi anbefaler at du opgraderer dine subversion-pakker.