Информация по безопасности / 2015 / Информация о безопасности -- DSA-3331-1 subversion

Рекомендация Debian по безопасности

DSA-3331-1 subversion -- обновление безопасности

Дата сообщения:

10.08.2015

Затронутые пакеты:

subversion

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-3184, CVE-2015-3187.

Более подробная информация:

В серверных компонентах системы управления версиями Subversion было обнаружено несколько уязвимостей.

• CVE-2015-3184

  mod_authz_svn в Subversion неправильно ограничивает анонимный доступ в некоторых смешанных окружениях с анонимными и аутентифицированными пользователями при использовании Apache httpd 2.4. В результате анонимный пользователь может получить доступ к файлам, к которым имеет доступ только аутентифицированный пользователь. Данная проблема не касается предыдущего стабильного выпуска (wheezy), поскольку в нём имеется Apache httpd только версии 2.2.

• CVE-2015-3187

  Серверы Subversion (и httpd, и svnserve) раскрывают некоторые пути, которые должны быть скрыты с помощью path-based authz. При копировании ноды из нечитаемого места в читаемое нечитаемый путь может быть раскрыт. Данная уязвимость приводит только к раскрытию пути, она не приводит к раскрытию содержимого этого пути.

В предыдущем стабильном выпуске (wheezy) эта проблема была исправлена в версии 1.6.17dfsg-4+deb7u10.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.8.10-6+deb8u1.

В тестируемом выпуске (stretch) эти проблемы будут исправлены в версии 1.9.0-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.9.0-1.

Рекомендуется обновить пакеты subversion.