Säkerhetsbulletin från Debian

cvsweb -- obehörigiga kan utifrån exekvera kod

Rapporterat den:

2000-07-16

Berörda paket:

cvsweb

Sårbara:

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2000-0670.

Ytterligare information:

Versionerna av cvsweb som medföljde Debian GNU/Linux 2.1 (slink), så väl som i de frusna (potato) och instabila (woody) versionerna är sårbara för en attack som utifrån gör det möjligt att få skalåtkomst. En angripare med skrivåtkomst till cvs-filerna kan exekvera vilken kod som helst på servern som www-data-användaren.

Sårbarheten har rättats i version 109 av cvsweb för den nuvarande stabila versionen (Debian GNU/Linux 2.1), i version 1.79-3potato1 för den frusna utgåvan och i version 1.86-1 i den instabila versionen.

Rättat i:

Debian GNU/Linux 2.1 (slink):

Källkod:: http://security.debian.org/dists/slink/updates/source/cvsweb_109.dsc; http://security.debian.org/dists/slink/updates/source/cvsweb_109.tar.gz
Arkitekturoberoende komponent:: http://security.debian.org/dists/slink/updates/binary-all/cvsweb_109_all.deb

Debian GNU/Linux 2.2 (potato):

Källkod:: http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.diff.gz; http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79-3potato1.dsc; http://http.us.debian.org/debian/dists/potato/main/source/devel/cvsweb_1.79.orig.tar.gz
Arkitekturoberoende komponent:: http://http.us.debian.org/debian/dists/potato/main/binary-all/devel/cvsweb_1.79-3potato1.deb