Debians sikkerhedsbulletin
DSA-5119-1 subversion -- sikkerhedsopdatering
- Rapporteret den:
- 13. apr 2022
- Berørte pakker:
- subversion
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2021-28544, CVE-2022-24070.
- Yderligere oplysninger:
-
Flere sårbarheder blev opdaget i Subversion, et versionsstyringssystem.
- CVE-2021-28544
Evgeny Kotkov rapporterede at Subversion-servere afslører
copyfrom
-stier, der burde være skjulte ifølge de opsatte stibaserede autorisationsregler (authz). - CVE-2022-24070
Thomas Weissschuh rapporterede at Subversions mod_dav_svn var sårbar over for en anvendelse efter frigivelse, når der blev slået stibaserede autorisationsregler op, hvilket kunne medføre lammelsesangreb (nedbrud af HTTPD-worker'en som håndterer forespørgslen).
I den gamle stabile distribution (buster), er disse problemer rettet i version 1.10.4-1+deb10u3.
I den stabile distribution (bullseye), er disse problemer rettet i version 1.14.1-3+deb11u1.
Vi anbefaler at du opgraderer dine subversion-pakker.
For detaljeret sikkerhedsstatus vedrørende subversion, se dens sikkerhedssporingsside på: https://security-tracker.debian.org/tracker/subversion
- CVE-2021-28544