GLSA 200409-35: Subversion: Metadata information leak
| Опасность: | низкая |
| Заголовок: | Subversion: Metadata information leak |
| Дата: | 29.09.2004 |
| Ошибки: | |
| ID: | 200409-35 |
Сводка
An information leak in mod_authz_svn could allow sensitive metadata of protected areas to be leaked to unauthorized users.Назначение
Subversion is a versioning system designed to be a replacement for CVS. mod_authz_svn is an Apache module to do path-based authentication for Subversion repositories.
Уязвимые пакеты
| Пакет | Уязвимый | Нетронутый | Архитектура(ы) |
|---|---|---|---|
| dev-util/subversion | < 1.0.8 | >= 1.0.8 | All supported architectures |
Описание
There is a bug in mod_authz_svn that causes it to reveal logged metadata regarding commits to protected areas.
Воздействие
Protected files themselves will not be revealed, but an attacker could use the metadata to reveal the existence of protected areas, such as paths, file versions, and the commit logs from those areas.
Обход
Rather than using mod_authz_svn, move protected areas into seperate repositories and use native Apache authentication to make these repositories unreadable.
Решение
All Subversion users should upgrade to the latest version:
# emerge sync
# emerge -pv ">=dev-util/subversion-1.0.8"
# emerge ">=dev-util/subversion-1.0.8"
Ссылки
Наличие
Этот GLSA и любые обновления для нее доступны для просмотра на сайте Gentoo Security:
Опасения?
Безопасность является одной из главных задач Gentoo Linux и первостепенное значение обеспечить конфиденциальность и безопасность машин наших пользователей. Любые соображения безопасности должны быть адресованы security@gentoo.org или в качестве альтернативы, вы можете сообщить об ошибке на https://bugs.gentoo.org.
Лицензия
Copyright 2010 Gentoo Foundation, Inc; текст ссылки принадлежит его владельцу(ам). Содержание этого документа распространяется на условиях лицензии Creative Commons - Attribution / Share Alike.