Debians sikkerhedsbulletin
DSA-3561-1 subversion -- sikkerhedsopdatering
- Rapporteret den:
- 29. apr 2016
- Berørte pakker:
- subversion
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2016-2167, CVE-2016-2168.
- Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i Subversion, et versionsstyringssystem. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2016-2167
Daniel Shahaf og James McCoy opdagede at en implementeringsfejl i autentificeringen mod biblioteket Cyrus SASL tillod at en fjernangriber kunne angive en realm-streng, som et præfiks hørende til den forventede realm-streng, og potentielt gjorde det muligt for en bruger at autentificere ved hjælp af et forkert realm.
- CVE-2016-2168
Ivan Zhakov fra VisualSVN opdagede en fjernudløsbar lammelsesangrebssårbarhed i modulet mod_authz_svn, under COPY- eller MOVE-autorisationskontroller. En autentificeret fjernangriber kunne drage nytte af fejlen til at forårsage et lammelsesangreb (nedbrud af Subversion-serveren) gennem COPY- eller MOVE-forespørgsler med en særligt fremstillet header.
I den stabile distribution (jessie), er disse problemer rettet i version 1.8.10-6+deb8u4.
I den ustabile distribution (sid), er disse problemer rettet i version 1.9.4-1.
Vi anbefaler at du opgraderer dine subversion-pakker.
- CVE-2016-2167