Информация по безопасности / 2016 / Информация о безопасности -- DSA-3561-1 subversion

Рекомендация Debian по безопасности

DSA-3561-1 subversion -- обновление безопасности

Дата сообщения:

29.04.2016

Затронутые пакеты:

subversion

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2016-2167, CVE-2016-2168.

Более подробная информация:

В Subversion, системе управления версиями, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2016-2167

  Дэниель Шахаф и Джеймс Маккой обнаружили, что ошибка реализации в коде аутентификации с использованием библиотеки Cyrus SASL может позволить удалённому пользователю определить строку поименованной области, являющуюся префиксом ожидаемой строки поименованной области, и потенциально позволяет пользователю выполнять аутентификацию с использованием неправильной поименованной области.

• CVE-2016-2168

  Иван Жаков из VisualSVN обнаружил удалённо вызываемый отказ в обслуживании в модуле mod_authz_svn при проверке авторизации COPY или MOVE. Аутентифицированный удалённый злоумышленник может использовать эту уязвимость для вызова отказа в обслуживании (аварийная остановка сервера Subversion) через запросы COPY или MOVE со специально сформированными заголовками.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 1.8.10-6+deb8u4.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 1.9.4-1.

Рекомендуется обновить пакеты subversion.