Säkerhetsinformation / 2016 / Säkerhetsinformation -- DSA-3561-1 subversion

Säkerhetsbulletin från Debian

DSA-3561-1 subversion -- säkerhetsuppdatering

Rapporterat den:

2016-04-29

Berörda paket:

subversion

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2016-2167, CVE-2016-2168.

Ytterligare information:

Flera sårbarheter har upptäckts versionshanteringssystemet Subversion. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2016-2167

  Daniel Shahaf och James McCoy upptäckte att ett implementationsfel i autentiseringen mot Cyrus SASL-biblioteket kunde komma att tillåta en fjärranvändare att specificera en realm-sträng som är ett prefix av den förväntade realm-strängen och potentiellt tillåta en användare att autentisera med hjälp av fel realm.

• CVE-2016-2168

  Ivan Zhakov från VisualSVN upptäckte en fjärrtriggningsbar överbelastningssårbarhet i modulen mod_authz_svn under COPY- eller MOVE-autentiseringskontrollen. En autentiserad fjärrangripare kunde dra fördel av denna brist för att orsaka en överbelastning (krasch av Subversionservern) via COPY eller MOVE-förfrågningar med speciellt skapade huvuden.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 1.8.10-6+deb8u4.

För den instabila utgåvan (Sid) har dessa problem rättats i version 1.9.4-1.

Vi rekommenderar att ni uppgraderar era subversion-paket.