GLSA 200404-13: CVS Server and Client Vulnerabilities

Опасность:средняя
Заголовок:CVS Server and Client Vulnerabilities
Дата:14.04.2004
Ошибки: #47800
ID:200404-13

Сводка

There are two vulnerabilities in CVS; one in the server and one in the client. These vulnerabilities allow the reading and writing of arbitrary files on both client and server.

Назначение

CVS, which stands for Concurrent Versions System, is a client/server application which tracks changes to sets of files. It allows multiple users to work concurrently on files, and then merge their changes back into the main tree (which can be on a remote system). It also allows branching, or maintaining separate versions for files.

Уязвимые пакеты

Пакет Уязвимый Нетронутый Архитектура(ы)
dev-util/cvs <= 1.11.14 >= 1.11.15 All supported architectures

Описание

There are two vulnerabilities in CVS; one in the server and one in the client. The server vulnerability allows a malicious client to request the contents of any RCS file to which the server has permission, even those not located under $CVSROOT. The client vulnerability allows a malicious server to overwrite files on the client machine anywhere the client has permissions.

Воздействие

Arbitrary files may be read or written on CVS clients and servers by anybody with access to the CVS tree.

Обход

There is no known workaround at this time. All users are encouraged to upgrade to the latest stable version of CVS.

Решение

All CVS users should upgrade to the latest stable version.

    # emerge sync
    
    # emerge -pv ">=dev-util/cvs-1.11.15"
    # emerge ">=dev-util/cvs-1.11.15"

Ссылки

Наличие

Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security: http://security.gentoo.org/glsa/glsa-200404-13.xml

Опасения?

Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.

Лицензия

Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.

Спасибо!