Informations de sécurité / 2015 / Informations sur la sécurité -- DSA-3331-1 subversion

Bulletin d'alerte Debian

DSA-3331-1 subversion -- Mise à jour de sécurité

Date du rapport :

10 août 2015

Paquets concernés :

subversion

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-3184, CVE-2015-3187.

Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans les composants du serveur du système de gestion de versions subversion.

• CVE-2015-3184

  mod_authz_svn de Subversion ne restreint pas correctement l'accès anonyme dans certains environnements mixtes anonymes ou authentifiés quand httpd 2.4 d'Apache est utilisé. Le résultat est qu'un accès anonyme est possible à des fichiers pour lesquels seul un accès authentifié devrait être possible. Ce problème n'affecte pas la distribution oldstable (Wheezy) parce qu'elle ne fournit que httpd 2.2 d'Apache.

• CVE-2015-3187

  Les serveurs de Subversion, à la fois httpd et svnserve, révéleront certains chemins qui devraient être cachés par authz basé sur les chemins. Quand un nœud est copié à partir d'un emplacement non accessible vers un emplacement lisible, le chemin non accessible peut être révélé. Cette vulnérabilité ne révèle que le chemin mais ne révèle pas le contenu du chemin.

Pour la distribution oldstable (Wheezy), ce problème a été corrigé dans la version 1.6.17dfsg-4+deb7u10.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 1.8.10-6+deb8u1.

Pour la distribution testing (Stretch), ces problèmes seront corrigés dans la version 1.9.0-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 1.9.0-1.

Nous vous recommandons de mettre à jour vos paquets subversion.