Informations de sécurité / 2022 / Informations sur la sécurité -- DSA-5119-1 subversion

Bulletin d'alerte Debian

DSA-5119-1 subversion -- Mise à jour de sécurité

Date du rapport :

13 avril 2022

Paquets concernés :

subversion

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2021-28544, CVE-2022-24070.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Subversion, un système de gestion de versions.

• CVE-2021-28544

  Evgeny Kotkov a signalé que les serveurs Subversion révèlent des chemins copyfrom qui devraient être dissimulés selon les règles d'autorisation basées sur le chemin (authz) configurées.

• CVE-2022-24070

  Thomas Weissschuh a signalé que mod_dav_svn de Subversion est prédisposé à une vulnérabilité d'utilisation de mémoire après libération lors de la vérification de règles d'autorisation basées sur le chemin. Cela peut avoir pour conséquence un déni de service (plantage du « worker » HTTPD traitant la requête).

Pour la distribution oldstable (Buster), ces problèmes ont été corrigés dans la version 1.10.4-1+deb10u3.

Pour la distribution stable (Bullseye), ces problèmes ont été corrigés dans la version 1.14.1-3+deb11u1.

Nous vous recommandons de mettre à jour vos paquets subversion.

Pour disposer d'un état détaillé sur la sécurité de subversion, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/subversion.