Bulletin d'alerte Debian

cvsweb -- Exécution à distance de code non autorisée

Date du rapport:

16 juillet 2000

Paquets concernés:

cvsweb

Vulnérabilité:

Oui

Références dans la base de données de sécurité:

Dans le dictionnaire CVE du Mitre : CVE-2000-0670.

Pour plus d'information:

Les versions de cvsweb distribuées dans les distributions Debian GNU/Linux 2.1 (Slink), gelée (Potato) et instable (Woody) sont vulnérables à une exploitation distante du shell. Un attaquant disposant d'un accès en écriture au dépôt cvs peut exécuter n'importe quel code sur le serveur et ce en tant que l'utilisateur www-data.

Cette vulnérabilité a été corrigée dans la version 109 de cvsweb pour la version stable actuelle (Debian GNU/Linux 2.1), dans la version 1.79-3potato1 pour la distribution gelée et dans la version 1.86-1 pour la distribution instable.

Corrigé dans:

Debian GNU/Linux 2.1 (slink):

Source :: http://security.debian.org/dists/slink/updates/source/cvsweb_109.dsc; http://security.debian.org/dists/slink/updates/source/cvsweb_109.tar.gz
Composant indépendant de l'architecture :: http://security.debian.org/dists/slink/updates/binary-all/cvsweb_109_all.deb

Debian GNU/Linux 2.2 (potato):

Source :: http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.diff.gz; http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc; http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79.orig.tar.gz
Composant indépendant de l'architecture :: http://http.us.debian.org/debian/dists/potato/main/binary-all/devel/cvsweb_1.79-3potato1.deb